Aktuelles, Branche - geschrieben von dp am Freitag, Dezember 5, 2014 17:25 - ein Kommentar
Gefälschte Kontoauszüge: Phishing-Attacke gegen deutsche Nutzer
Proofpoint warnt vor „Emotet“-Banking-Trojaner
[datensicherheit.de, 05.12.2014] In den vergangenen Wochen hat Proofpoint nach eigenen Angaben eine vergleichsweise starke und anhaltende Attacke per E-Mail auf deutsche Nutzer beobachtet, die einen Phishing-Köder versendet, um den „Emotet“-Banking-Trojaner gezielt auszuliefern. Diese Kampagne bleibe von reputationsbasierten Filtern unerkannt, da sie durch mehrere Dutzend kompromittierte Webseiten pro Tag verbreitet werde, die gemeinsam E-Mails mit üblichen Vorlagen einer „Kontobenachrichtigung“ auslieferten.
Tarnung als vermeintlich harmlose pdf-Datei
Die Nachrichten selbst beinhalten demnach eine URL, die auf eine PDF-Datei mit Informationen zum neuen mobilen Service-Konto des Empfängers zu verweisen scheint. In Wirklichkeit aber, so Monika Schaufler, „Regional Sales Director CEMEA“ bei Proofpoint, führten diese URLs direkt zu einer komprimierten ausführbaren Datei, die den „Emotet“-Banking-Trojaner herunterlädt.
Da viele Nutzer mittlerweile davor gewarnt sind, nicht auf ausführbare Dateien zu klicken oder zip- und andere Dateien von unbekannten oder nicht vertrauenswürdigen Absendern zu öffnen, tarnt sich dieser Ordner als pdf – die in der Nachricht verwendete URL mit enthaltenen ausführbaren Dateien leitet dann zu einer zip-Datei weiter, die passend zum E-Mail-Köder benannt wurde (wie z.B. „rechnung_vodafone_de.zip“). Die Namen der ausführbaren Dateien passten ebenso zur Kampagne (beispielsweise „rechnung_vodafone_de_2014_11_930370025_023870007_11_de_0000003837_888830.exe“) und nutzten pdf- oder ähnliche Datei-Icons, um Nutzern vorzutäuschen, dass es sich um sichere Dateiformate handelt, warnt Schaufler.
Auch pdf-Dateien potenziell gefährlich
In der Realität können pdf-Dateien genauso gefährlich sein, wie gezippte ausführbare Dateien, jedoch zeigt die Erfahrung, dass Anwender bei diesen weniger vorsichtig sind als bei anderen Formaten.
Die Kombination von dem Datei-Icon und dem langen Dateinamen, der die Dateierweiterung verbirgt, sei eine überzeugende Taktik, so Schaufler. Die Antivirus-Erkennung dieser Malware sei schlecht – weniger als vier Prozent der Antivirenprogramme hätten die Datei zu dem Zeitpunkt erkannt, als die Kampagne versendet wurde.
Regionale Variabilität von Malware
Dieser Angriff unterstreiche die regionale Variabilität von Malware. Während Phishing die internationale Sprache bösartiger Täter sein mag, hänge die Effektivität von Malware – und vor allem von Banking-Trojanern – von einer starken regionalen oder sprachlichen Ausrichtung ab, sagt Schaufler.
„Emotet“ sei ein treffendes Beispiel dafür: Ursprünglich in Deutschland entdeckt, habe er sich in andere Länder verbreitet, da die Angreifer es an lokale Sprachen angepasst hätten. Die meisten modernen Banking-Trojaner nutzten „Web Infizierungen“, mit deren Hilfe sie gefälschte Teile von Banking-Websites nachbauten, um Benutzerinformationen zu stehlen. Damit diese die geplante Wirkung haben, müssten sie sprachlich korrekt und überzeugend sein (also nur wenige oder keine offensichtlichen Rechtschreib- und Grammatikfehler haben) und an die Websites der Banken angepasst werden.
Potenzial der „Emotet“-Malware in Deutschland noch nicht erschöpft
Dieser Grad an Spezialisierung bedeute, dass Angreifer eine Malware so ausgedehnt wie möglich in einer bestimmten Region nutzen, um den Return-on-Investment (RoI) zu maximieren. Aus diesem Grund hätten Banking-Trojaner – mehr als die meisten Arten von Malware – eine starke regionale Ausrichtung.
Es sei offensichtlich, dass Cyber-Kriminelle immer noch Potenzial in der „Emotet“-Malware in Deutschland sehen, erläutert Schaufler. Aus diesem Grund sollten deutschsprachige Organisationen und Nutzer vor Phishing-Kampagnen dieser Art gewarnt bleiben.
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren