[datensicherheit.de, 05.12.2014] In den vergangenen Wochen hat Proofpoint nach eigenen Angaben eine vergleichsweise starke und anhaltende Attacke per E-Mail auf deutsche Nutzer beobachtet, die einen Phishing-Köder versendet, um den „Emotet“-Banking-Trojaner gezielt auszuliefern. Diese Kampagne bleibe von reputationsbasierten Filtern unerkannt, da sie durch mehrere Dutzend kompromittierte Webseiten pro Tag verbreitet werde, die gemeinsam E-Mails mit üblichen Vorlagen einer „Kontobenachrichtigung“ auslieferten.

Tarnung als vermeintlich harmlose pdf-Datei

Die Nachrichten selbst beinhalten demnach eine URL, die auf eine PDF-Datei mit Informationen zum neuen mobilen Service-Konto des Empfängers zu verweisen scheint. In Wirklichkeit aber, so Monika Schaufler, „Regional Sales Director CEMEA“ bei Proofpoint, führten diese URLs direkt zu einer komprimierten ausführbaren Datei, die den „Emotet“-Banking-Trojaner herunterlädt.
Da viele Nutzer mittlerweile davor gewarnt sind, nicht auf ausführbare Dateien zu klicken oder zip- und andere Dateien von unbekannten oder nicht vertrauenswürdigen Absendern zu öffnen, tarnt sich dieser Ordner als pdf – die in der Nachricht verwendete URL mit enthaltenen ausführbaren Dateien leitet dann zu einer zip-Datei weiter, die passend zum E-Mail-Köder benannt wurde (wie z.B. „rechnung_vodafone_de.zip“). Die Namen der ausführbaren Dateien passten ebenso zur Kampagne (beispielsweise „rechnung_vodafone_de_2014_11_930370025_023870007_11_de_0000003837_888830.exe“) und nutzten pdf- oder ähnliche Datei-Icons, um Nutzern vorzutäuschen, dass es sich um sichere Dateiformate handelt, warnt Schaufler.

Auch pdf-Dateien potenziell gefährlich

In der Realität können pdf-Dateien genauso gefährlich sein, wie gezippte ausführbare Dateien, jedoch zeigt die Erfahrung, dass Anwender bei diesen weniger vorsichtig sind als bei anderen Formaten.
Die Kombination von dem Datei-Icon und dem langen Dateinamen, der die Dateierweiterung verbirgt, sei eine überzeugende Taktik, so Schaufler. Die Antivirus-Erkennung dieser Malware sei schlecht – weniger als vier Prozent der Antivirenprogramme hätten die Datei zu dem Zeitpunkt erkannt, als die Kampagne versendet wurde.

Regionale Variabilität von Malware

Dieser Angriff unterstreiche die regionale Variabilität von Malware. Während Phishing die internationale Sprache bösartiger Täter sein mag, hänge die Effektivität von Malware – und vor allem von Banking-Trojanern – von einer starken regionalen oder sprachlichen Ausrichtung ab, sagt Schaufler.
„Emotet“ sei ein treffendes Beispiel dafür: Ursprünglich in Deutschland entdeckt, habe er sich in andere Länder verbreitet, da die Angreifer es an lokale Sprachen angepasst hätten. Die meisten modernen Banking-Trojaner nutzten „Web Infizierungen“, mit deren Hilfe sie gefälschte Teile von Banking-Websites nachbauten, um Benutzerinformationen zu stehlen. Damit diese die geplante Wirkung haben, müssten sie sprachlich korrekt und überzeugend sein (also nur wenige oder keine offensichtlichen Rechtschreib- und Grammatikfehler haben) und an die Websites der Banken angepasst werden.

Potenzial der „Emotet“-Malware in Deutschland noch nicht erschöpft

Dieser Grad an Spezialisierung bedeute, dass Angreifer eine Malware so ausgedehnt wie möglich in einer bestimmten Region nutzen, um den Return-on-Investment (RoI) zu maximieren. Aus diesem Grund hätten Banking-Trojaner – mehr als die meisten Arten von Malware – eine starke regionale Ausrichtung.
Es sei offensichtlich, dass Cyber-Kriminelle immer noch Potenzial in der „Emotet“-Malware in Deutschland sehen, erläutert Schaufler. Aus diesem Grund sollten deutschsprachige Organisationen und Nutzer vor Phishing-Kampagnen dieser Art gewarnt bleiben.

Von Monika Schaufler, Regional Sales Director CEMEA, bei Proofpoint

[datensicherheit.de, 21.11.2014] Das Forschungsteam von Proofpoint hat kürzlich eine Phishing-Kampagne entdeckt, die gezielt auf Unternehmen in Deutschland und Frankreich gerichtet war. Dies ist ein Beispiel für Kampagnen, die in mehreren Sprachen und Ländern ausgeführt werden und zeigt, wie Angreifer den Faktor Sprache nutzen, um die Abwehrmechanismen von Organisationen zu umgehen.

Es wurden dabei zwölf verschiedene Microsoft Word-Dokumentanhänge identifiziert, die jeweils mit unterschiedlichen Absendern und Betreffzeilen kombiniert wurden und so eine klassische Longline-Phishing-Kampagne bildeten, die eine Reputations-basierte Blockierung umgehen konnte. Die automatisierte Analyse der Anhänge ergab, dass die Dokumente ein schadhaftes Makro, d. h. einen VBA-Virus, enthielten, mit dem die Malware Andromeda (auch Gamarue genannt) heruntergeladen und installiert wird. Durch die Verschleierung sowohl des Makros als auch der Andromeda-Payload konnten die Angreifer verschiedensten Antivirenprogrammen hervorragend ausweichen: Zum Zeitpunkt der Analyse durch Proofpoint waren die Anhänge von weniger als zehn Prozent der Antivirenprogramme erkannt worden, und die Andromeda-Payload nur von fünf Prozent.

Teil der Kampagne waren E-Mails in Deutsch und Französisch mit verschiedenen Ködern, Betreffen und Nachrichtentexten. Ein deutsches Beispiel enthält eine Rechnung und fordert den Empfänger auf, diese bis zum 1. Januar zu begleichen. Eine weitere deutsche E-Mail der Kampagne enthält scheinbar eine Kundendienstmitteilung eines bekannten deutschen Internetanbieters, die den Empfänger auffordert, den Anhang zu lesen und innerhalb von 48 Stunden zu antworten. In einer französischen E-Mail wird der Empfänger beispielsweise gebeten, eine aktualisierte Lizenzvereinbarung zu lesen und auf die E-Mail zu antworten.

Im September informierte Proofpoint, dass die URLs in unerwünschten E-Mails, die an Empfänger in Deutschland und Frankreich gesendet werden, mit geringerer Wahrscheinlichkeit schadhaft sind als beispielsweise E-Mail-URLs, die an Empfänger in den USA oder Großbritannien gehen. In modernen Phishing-Kampagnen werden die Flexibilität von URLs sowie der Umstand ausgenutzt, dass eine URL erst nach Eingang einer E-Mail schadhaft werden kann und somit regelmäßig auch die aktuellsten URL-Reputationsdatenbanken unterläuft. Da bei dieser Kampagne statt schadhafter URLs E-Mail-Anhänge zur Einschleusung der Payload verwendet wurden, ist offenkundig, dass Unternehmen in Frankreich und Deutschland nicht weniger im Fokus von Angreifern stehen als Unternehmen in den USA oder Großbritannien.

Diese drei Beispiele einer einzigen Kampagne veranschaulichen den variablen Einsatz von Anhang-Name, Köder, Betreff und Absenderadresse – genau die Elemente, die moderne Longline-Phishing-Kampagnen so effektiv gegen Reputations- und Signatur-basierte Abwehrmechanismen machen. Die Word-Anhänge enthielten ein verschleiertes Word-Makro, das dafür konzipiert war, Erkennungsmechanismen zu umgehen. Und mit mindestens zwölf Anhängen in einer Longline-Kampagne mit relativ geringem Umfang standen die Chancen gut, dass sie von Antivirensystemen und Reputationsprüfungen unerkannt bleiben und somit auch das stärkste Antispam-Gateway überwinden würden. Egal, ob URL oder Anhang – beide machen beispielhaft deutlich, warum Unternehmen ihr vorhandenes Antispam-Gateway um komplexere Erkennungsfunktionen ergänzen müssen: Selbst die beste klassische Abwehr bietet keinen 100-prozentigen Schutz.

Wenn zu diesem Mix noch die Sprachkomponente und in vielen Teilen Kontinentaleuropas die Wahrnehmung hinzukommt, dass moderne komplexe Bedrohungen hauptsächlich ein Problem englischsprachiger Länder und Unternehmen sind, erhält man ein Rezept für weitreichende Infizierungen – und das ist in jeder Sprache ein Problem.

Weitere Infriamtionen zum Thema:

proofpoint
Phishing: The international language