Shathak: PSW GROUP warnt vor neuer Schadsoftware und deren Einfallstor E-Mail

Malware Shathak sehr dynamisch und rasant fortentwickelt

[datensicherheit.de, 07.09.2021] Eine Cyber-Attacke der besonderen Art sorge für immer größeres Aufsehen: Die auf E-Mails basierende Angriffskampagne „TA551“, besser bekannt als „Shathak“, breitet sich laut einer aktuellen Stellungnahme von Patrycja Schrenk, Geschäftsführerin der PSW GROUP weltweit immer mehr aus – auch im deutschsprachigen Raum: „Bei ,Shathak‘ handelt es sich um eine E-Mail-basierte Malware-Angriffskampagne, von der weltweit immer mehr Endanwender betroffen sind. ,Shathak‘ ist enorm wandelbar, die gefälschten E-Mails wirken täuschend echt und sind so für die Betroffenen äußerst schwer zu erkennen“, warnt sie. Da jeder Angriff anders verlaufe und diese sehr gut getarnt seien, sei „die Infektionsgefahr bei Betroffenen, die nicht über die Angriffskampagne informiert sind, als hoch einzuordnen“.

Foto: PSW GROUP

Patrycja Schrenk: Shathak enorm wandelbar – gefälschte E-Mails wirken täuschend echt

Bisher verwendete Shathak verschiedene Malware-Familien

Zentraler Bestandteil der Angriffe sei eine E-Mail als Köder, bei der eine E-Mail-Kette vorgetäuscht werde. Die Täter verwendeten gestohlene SMTP-Anmeldeinformationen und stellten aus zuvor erbeuteten Inhalten täuschend echte E-Mails zusammen, so dass deren Empfänger von vertrauenswürdigen E-Mails ausgingen. Die gefälschten E-Mails enthielten dabei Betreffzeilen und Inhalte, welche sich auf die vorherige E-Mail-Kommunikation bezögen – zum Beispiel würden die Betreffzeile sowie interne Informationen aus dem Unternehmen individuell auf das jeweilige Opfer angepasst.
„Die E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. In der E-Mail befindet sich ein passwortgeschützter Zip-Anhang, der ein malwareverseuchtes Dokument enthält, beispielsweise eine ,Microsoft Office‘-Datei“, berichtet Schrenk und erläutert, wie die Schadsoftware auf den Computer seines Opfers gelangt: „Der Benutzer wird im Text der E-Mail über das Passwort für den Zip-Anhang informiert. Öffnet er das Dokument, das in Form von Makros mit Malware infiziert ist, wird das System des Opfers mit der Malware infiziert.“ Bisher habe „Shathak“ verschiedene Malware-Familien, wie zum Beispiel „IcedID“, „Valak“ und „Ursnif“ (Gozi/ISFB) verwendet.

Shathak hat auch bereits Opfer in Deutschland, Italien und Japan gefunden

„Shathak“, am Anfang vornehmlich auf englischsprachige Opfer abzielend, habe bereits Opfer in Deutschland, Italien und Japan gefunden. Auch die Verbreitungsmethode der Schadsoftware habe sich weiterentwickelt: Zu Anfang habe die E-Mail-Angriffskampagne auf mehrere Malware-Familien gesetzt. Vermehrt seien nun Fälle zu beobachten, in denen häufig „IcedID“ als Schadsoftware eingesetzt werde. Dabei handele es sich um einen sehr leistungsfähigen Trojaner, der ursprünglich auf die Erbeutung von Banking-Informationen eingesetzt worden sei, sich aber nun vielseitig für andere Angriffe einsetzen lasse.
„,Shathak‘ ist besonders schwer erkennbar und wandelt sich sehr schnell, dadurch ist es sehr schwer, gefälschte E-Mails zu erkennen“, unterstreicht Schrenk und rät zur äußersten Vorsicht in der E-Mail-Kommunikation: „Eine gesunde Skepsis kann vor hohem Schaden und einer Infektion bewahren. Wer sich nicht sicher ist, ob eine E-Mail vertrauenswürdig ist, sollte sich nicht scheuen, beim Absender anzurufen, um sich über die Korrektheit der E-Mail vergewissern“, so ihr Tipp. Grundsätzlich gelte beim Umgang mit „Shathak“ aber auch: Eine angemessene Spam-Filterung, ordnungsgemäße Systemadministration und aktuelle „Windows“-Hosts sorgten für ein deutlich geringeres Infektionsrisiko.

Weitere Informationen zum Thema:

datensicherheit.de, 20.04.2021
Faktor Mensch und Unternehmensnetzwerk laut PSW GROUP wesentliche Cyber-Risiken

PSW GROUP, Marek Röhner, 22.06.2021
Bedrohungslage / Shathak: Weltweite Ausbreitung droht