[datensicherheit.de, 03.11.2022] „Cyber-Kriminelle haben es erneut auf Medien-Organisationen abgesehen“, warnen die Cybersecurity-Spezialisten von Proofpoint in einer aktuellen Meldung: Demnach konnten sie einen Angriff auf eine große Anzahl US-amerikanischer Zeitungen aufdecken, darunter bekannte Tageszeitungen. „Dabei attackieren die Cyber-Kriminellen die Publikationen nicht direkt, sondern wählen den Umweg über eine Nachrichtenagentur. Die Agentur stellt ihren Partnern Inhalte per ,Javascript’ zur Verfügung.“ Den Angreifern sei es gelungen, die Codebasis dieses ansonsten harmlosen „Javascripts“ zu manipulieren und für die Ausführung von „SocGholish“ zu verwenden: „,SocGholish’ ist ein ,JavaScript’-Malware-Framework, das seit einigen Jahren von Cyber-Kriminellen verwendet wird.“

Foto: proofpoint

Sherrod DeGrippo: Es reicht nicht aus, das Problem einmal zu beheben!

TA569 – die Cyber-Kriminellen hinter dem Angriff

Die Spezialisten von Proofpoint bezeichnen nach eigenen Angaben die Cyber-Kriminellen hinter dem Angriff als „TA569“: „,TA569′ hat in der Vergangenheit derartige ,Javascript’-Injektionen in regelmäßigen Abständen entfernt und wieder hinzugefügt, so dass das Vorhandensein des Schadcodes von Stunde zu Stunde variieren kann.“

Betroffene könnten sich daher nicht sicher sein, ob es sich bei einer Warnmeldung tatsächlich um einen Fehlalarm („False Positive“) handelt. Proofpoint hat diesen Angriff von „TA569“ bei einem Medien-Unternehmen entdeckt, dessen Dienste von mehreren großen Nachrichtenorganisationen genutzt würden. Mehr als 250 Webseiten regionaler und nationaler Zeitungen hätten auf das bösartige „Javascript“ zugegriffen. Die tatsächliche Anzahl der betroffenen Hosts sei nur dem betroffenen Medien-Unternehmen bekannt.

Cyber-Sicherheit nur so gut ist wie der importierte Content Dritter

„,TA569‘ hat bereits zuvor Medien-Organisationen genutzt, um ,SocGholish’ zu verbreiten. Diese Malware-Variante kann zu Folgeinfektionen führen, unter anderem mit Ransomware“, erläutert Sherrod DeGrippo, „Vice President Threat Research and Detection“ bei Proofpoint, in ihrem Kommentar. Sie rät: „Die Situation muss genau beobachtet werden, zumal wir gesehen haben, dass ,TA569‘ dieselben Assets nur wenige Tage nach der Behebung des Problems erneut infiziert hat.“

Es reiche nicht aus, das Problem einmal zu beheben. Es sei wichtig, sich daran zu erinnern, „dass die Sicherheit einer Website von einer Vielzahl von Ressourcen und Diensten abhängt und dass die Sicherheit, egal wie zuverlässig sie ist, nur so gut ist wie der Content Dritter, der importiert wird“, so DeGrippo abschließend.

[datensicherheit.de, 29.10.2022] Laut einer aktuellen Meldung aus dem Hause Proofpoint soll sogenanntes Pig Butchering der neueste Trend unter Krypto-Betrügern sein. Cybersecurity-Forscher von Proofpoint haben demnach die einzelnen Schritte nachvollzogen, mit denen Cyber-Kriminelle ihre Zielpersonen mit dieser Masche in die Falle locken und mitunter Millionen US-Dollar erbeuten. Nach Angaben der Global Anti Scam Organization (GASO), deren Gründerin selbst Opfer dieser Masche geworden sei, verliere ein Leidtragender im Durchschnitt rund 122.000 US-Dollar – und zwei Drittel der Opfer seien Frauen im Alter von 25 bis 40 Jahren. „Pig Butchering“ habe seinen Ursprung im asiatischen Raum und breite sich aktuell in hohem Tempo in anderen Regionen aus.

Foto: proofpoint

Sherrod DeGrippo: Pig Butchering breitet sich schnell aus – getrieben vom finanziellen Erfolg der Cyber-Kriminellen…

Zentrale Erkenntnisse der Cybersecurity-Forscher von Proofpoint:

Kontaktaufnahme zu Zielpersonen
Cyber-Kriminelle stellten den Kontakt zu ihren Zielpersonen über Dating-Apps, Soziale Medien oder Textnachrichten her. „Ähnlich wie bei traditionellen Romantikbetrügereien versuchen die Kriminellen, zunächst Vertrauen aufzubauen.“

Spielen mit Gefühlen
Die emotionale Manipulation, der freundliche Tonfall und die schiere Dauer der Phase vor dem eigentlichen Betrugsversuch ließen echte Gefühle entstehen. Die Kriminellen nutzten diese Emotionen für finanziellen Gewinn, der mehrere Millionen US-Dollar erreichen könne.

Beute per Kryptowährung
Die Kriminellen überzeugten ihre Opfer, sogenannte Kryptowährung bei einer gefälschten Kryptowährungsbörse einzuzahlen. „Anschließend stehlen sie das Geld.“

Ausbreitung von Asien in englischsprachige Länder
In jüngster Zeit habe sich „Pig Butchering“ vom asiatischen Raum auf englischsprachige Länder ausgebreitet. Angesichts ihres Erfolges sei davon auszugehen, dass sich diese Masche weiter ausbreiten werde.

Professionelle Betrüger
Die Schwierigkeiten bei der Verfolgung und Analyse der kriminellen Aktivitäten ließen darauf schließen, dass die Akteure hinter der Masche äußerst versiert seien.

Neueste Proofpoint-Untersuchung zeigt Sprung in der Komplexität und Ausgereiftheit der Attacken

„Krypto-Betrügereien sind fast so alt wie Kryptowährungen selbst. Unsere neueste Untersuchung zeigt einen Sprung in der Komplexität und Ausgereiftheit der Attacken. ‚Pig Butchering‘ (oder ,Sha Zhu Pan’, wie es in China umgangssprachlich genannt wird) breitet sich schnell aus, getrieben vom finanziellen Erfolg der Cyber-Kriminellen, der ihnen die Mittel für einen weiteren Ausbau ihrer Operationen verschafft“, kommentiert Sherrod DeGrippo, „Vice President Threat Research and Detection“ bei Proofpoint, den neuen Trend.

Weitere Informationen zum Thema:

proofpoint, Tim Kromphardt & Genina Po, 24.10.2022
Broken Dreams and Piggy Banks: Pig Butchering Crypto Fraud Growing Online

[datensicherheit.de, 04.11.2021] Security-Experten von Proofpoint haben nach eigenen Angaben „eine Zunahme von Attacken beobachtet, bei denen sich die Angreifer ein ausgeklügeltes Ökosystem von callcenter-basierten E-Mail-Bedrohungen zunutze machen“. Anders als bei klassischem Telefonbetrug, bei dem im Regelfall Täter ihre Opfer direkt anriefen, setzten Cyber-Kriminelle hier darauf, dass die potenziellen Opfer selbst zum Hörer griffen und so die Interaktion einleiteten. „Auf diese Weise entsteht für die Opfer vermeintliche Sicherheit, da diese selbst aktiv werden.“ Doch der Schaden könne auch für Privatpersonen immens sein. „E-Mail-Betrug, der von Callcentern unterstützt wird, ist zwar kein ganz neues Phänomen, allerdings werden die Täter nun immer professioneller.“ In vielen Fällen verlören die Opfer Zehntausende von Euro, die direkt von ihren Bankkonten gestohlen würden. Bei den Attacken konzentrierten sich die Täter vorwiegend auf Deutschland, die Vereinigten Staaten, Australien und Indien.

Im Prinzip 2 Arten von Callcenter-Bedrohungen beobachtet

Generell gebe es zwei Arten von Callcenter-Bedrohungen, welche von Proofpoint regelmäßig beobachtet würden: „Bei der einen kommt kostenlose, legitime Fernwartungssoftware zum Einsatz, um Geld zu stehlen. Bei der anderen wiederum wird eine als Dokument getarnte Malware verbreitet, um einen Computer zu kompromittieren.“
In letzterem Fall könne es auch zu Folgeinfektionen kommen, wenn weitere Malware nachgeladen wird. Bei dieser zweiten Angriffsart werde regelmäßig die „BazaLoader“-Malware genutzt, weshalb diese Vorgehensweise auch als „BazaCall“ bezeichnet werde. Proofpoint fasse beide Angriffsarten unter dem Kürzel „TOAD“ (für Telephone-oriented Attack Delivery) zusammen.

Abbildung: proofpoint

Infektionskette zum Diebstahl von Geld bzw. Daten

E-Mails sollen Opfer zum Anruf beim Callcenter verleiten

Laut den aktuellen Erkenntnissen von Proofpoint erhalten bei den jüngst beobachteten Angriffen die Opfer E-Mails, „in denen sich die Angreifer als Vertreter von Organisationen – beispielsweise Tickethändler für Justin-Bieber-Konzerte, Cyber-Sicherheitsunternehmen, ,Corona‘-Hilfsfonds oder Online-Händler – ausgeben und Rückerstattungen für irrtümliche Käufe, Software-Updates oder finanzielle Hilfen versprechen“.
Diese E-Mails enthielten dabei eine Telefonnummer der vermeintlichen Kundenbetreuung. Sobald die Opfer diese Nummer anrufen, werden sie demnach direkt mit einem der betrügerischen Callcenter-Mitarbeiter verbunden und der Angriff beginnt.

Abbildung: proofpoint

BazaCall-Infektionskette zur Verbreitung der BazaLoader-Malware

Proofpoint konnte Callcenter in Indien identifizieren

„Obgleich es eine Herausforderung ist, die TOAD-Aktivitäten bestimmten Gruppen zuzuordnen, gelang es Proofpoint mehrere Aktivitäts-Cluster in Indien zu identifiziert.“ Die meisten Aktivitäten in diesem Zusammenhang spielten sich dabei in drei Städten ab: Kolkata, Mumbai und Neu-Delhi.
Proofpoint habe zudem anhand der Interaktionen der Täter mit den Security-Experten sowie anhand von öffentlich zugänglichen Informationen, die in Betrugsforen und auf YouTube geteilt worden seien, mehrere physische Standorte der Täter ausfindig machen können.

Opfern droht schlimmste vorstellbare Erfahrung mit vorgetäuschtem Kundenservice-Callcenter

„Cyber-Kriminelle werden sehr kreativ bei ihren Ködern. Eine gefälschte Quittung für Justin-Bieber-Tickets oder den Kauf einer Schusswaffe erregen zumeist genug Aufmerksamkeit, um selbst den wachsamsten E-Mail-Empfänger hinters Licht zu führen“, kommentiert Sherrod DeGrippo, „VP, Threat Research and Detection“ bei Proofpoint.
DeGrippo warnt: Sollte der Empfänger hierauf reagieren und versuchen, die angeblichen Kosten anzufechten, folge eine ausgeklügelte Infektionskette, die erhebliche menschliche Interaktion erfordere. „Dabei können die Opfer die schlimmste Erfahrung mit einem vorgetäuschten Kundenservice machen, die man sich nur vorstellen kann und die letztendlich im Diebstahl von Geld bzw. einer Malware-Infektion mündet.“

Weitere Informationen zum Thema:

proofpoint, Selena Larson & Sam Scholten & Timothy Kromphardt, 04.11.2021
Caught Beneath the Landline: A 411 on Telephone Oriented Attack Delivery

[datensicherheit.de, 16.08.2019] Laut einer aktuellen Meldung von proofpoint ist eine neue Variante der Malware „DanaBot“ (ID27) aufgetaucht, mit der speziell Anwender in Deutschland attackiert werden. Die Web-Publikationen „H3 Collective“ und „ZDNet“ haben darüber gerade erst berichtet.

DanaBot-Malware weiterentwickelt: In neuer Form nun auch Angriffe auf Unternehmen in Deutschland

„DanaBot“ sei 2018 von proofpoint-Forschern entdeckt worden und habe sich zunächst gegen Ziele in Australien gerichtet. „Zudem schien es so, als ob ,DanaBot‘ vor mehr als einem Jahr von lediglich einem Team Cyber-Krimineller eingesetzt wurde.“ In der Zwischenzeit sei diese Malware weiterentwickelt worden und attackiere in neuer Form nun auch Unternehmen in Deutschland.

Jetzt aufgetauchte DanaBot-Variante ID 27 seit etwa sechs Monaten stabil

Zu der jetzt aufgetauchten Variante „ID 27“ von „DanaBot“ nimmt Sherrod DeGrippo, „Senior Director Threat Research and Detection“ bei proofpoint, Stellung: „Die aktuelle Version von ,DanaBot‘ ist seit etwa sechs Monaten stabil. Sie hat die mit Abstand größte Anzahl von Affiliate-IDs, die wir von proofpoint weiterhin beobachten – insbesondere deshalb, da mehr oder weniger permanent neue Varianten erscheinen.“

Gezielte Attacken: Deutsche Unternehmen auch weiterhin gefährdet

Zunächst sei es so erschienen, also ob bereits Anfang Juni 2019 bei der Adressierung deutscher Anwender mit „ID 27“ der Höhepunkt erreicht gewesen wäre, einschließlich der Verwendung der „Airbnb“-Domain in den Web-Injects. Jedoch blieben deutsche Unternehmen auch weiterhin gefährdet und würden gezielt attackiert.

DanaBot-Affiliate 4 hat begonnen, Banken in den USA ins Visier zu nehmen

Die Akteure hinter jeder ID der aktuellen Version könnten andere sein als in einer früheren Version. Dies hänge vermutlich davon ab, wer den Dienst vom „DanaBot“-Anbieter kauft. DeGrippo: „Die größte Veränderung, die wir bei ,Danabot‘ gesehen haben, ist, dass ,Affiliate 4‘ begonnen hat, Banken in den USA anzusprechen.“

Weitere Informationen zum Thema:

H3 Collective, 14.08.2019
Review of a Danabot Infection

ZDNet, Charlie Osborne for Zero Day, 15.08.2019
DanaBot banking Trojan jumps from Australia to Germany in quest for new targets / The malware has evolved from a basic threat to profitable, global crimeware.

datensicherheit.de, 08.07.2019
Banktrojaner DanaBot verlangt nun Lösegelder

datensicherheit.de, 21.09.2018
Banktrojaner DanaBot mit modularer Architektur in Europa aktiv

datensicherheit.de, 10.08.2018
Banking-Trojaner halten Spitzenplatz im zweiten Quartal 2018

datensicherheit.de, 19.07.2018
Im Juni 2018 50 Prozent mehr Banking-Trojaner unter Bedrohungsakteuren

datensicherheit.de, 11.06.2018
Wandel der Bedrohungslage: Bankentrojaner vor Ransomware

[datensicherheit.de, 29.05.2019] Die Proofpoint Inc. hat am 29. Mai 2019 ihren neuesten „Threat Report“ für das erste Quartal 2019 veröffentlicht. Dem Bericht zufolge hätten die Experten von Proofpoint beobachten können, dass sich „Emotet“ hinsichtlich seiner ursprünglichen Klassifizierung stark verändert habe: So habe dich diese Malware von einem reinen Banking-Trojaner hin zu einem Botnetz entwickelt, das „Credential Stealern“, eigenständigen Downloadern und Remote-Acces-Trojanern (RATs) zunehmend den Rang ablaufe. So habe hinter 61 Prozent aller im ersten Quartal 2019 beobachteten bösartigen „Payloads“ nur ein einziger Akteur gesteckt – der Betreiber des „Emotet“-Botnetzes.

Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 angestiegen

Ein Beleg für die Popularität von „Emotet“ sei vor allem die anhaltende Zunahme von Angriffen mit gefährlichen URLs – verglichen mit Attacken, die auf schädliche Datei-Anhänge setzten. Proofpoint habe im Rahmen seiner Untersuchung für das vergangene Quartal belegen können, dass bösartige URLs in E-Mails diejenigen mit gefährlichen Datei-Anhängen um etwa das Verhältnis fünf zu eins überstiegen.
Damit sei diese Art der Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 angestiegen. Ein Großteil dieses Aufkommens an Cyber-Bedrohungen, sowohl insgesamt als auch im Hinblick auf die Verbreitung bösartiger URLs in Nachrichten, sei eben durch das gleichnamige „Emotet“-Botnet verbreitet worden.

Der Mensch muss im Vordergrund der Betrachtung stehen

„Die extremen Veränderungen, die ,Emotet‘ hinsichtlich seiner Verbreitung aber auch bezüglich seiner Wandlung hin zu einer neuen Bedrohungs-Klasse vollzog, zeigt, wie schnell Cyber-Kriminelle neue Tools und Techniken über verschiedene Angriffstypen hinweg anpassen, um ihre Attacken erfolgreich zu monetarisieren“, erläutert Sherrod DeGrippo, „Senior Director of Threat Research and Detection“ bei Proofpoint.
„Um sich bestmöglich vor der sich schnell wandelnden Bedrohungslandschaft zu schützen, ist es wichtig, dass Unternehmen einen Sicherheitsansatz verfolgen, bei dem der Mensch im Vordergrund der Betrachtung steht“, betont DeGrippo. Bei diesem Ansatz müssten insbesondere die am häufigsten angegriffenen Mitarbeiter vor Attacken geschützt werden. „Hier ist es wichtig, dass gerade diese Nutzer intensiv geschult werden und dass der betreffende Ansatz auch den Schutz vor Social-Engineering-Angriffen via E-Mail, Social Media und Internet generell umfasst.“

Laut Proofpoint die wichtigsten Ergebnisse der aktuellen Analyse:

• Banking-Trojaner machten im ersten Quartal 2019 lediglich 21 Prozent aller bösartigen „Payloads“ in E-Mails aus – dazu zählten hauptsächlich „IcedID“, „The Trick“, „Qbot“ und „Ursnif“.
• Abgesehen von kleineren „GandCrab“-Kampagnen seien im Falle von Ransomware in den ersten drei Monaten des Jahres 2019 praktisch keine nennenswerten Vorkommnisse verzeichnet worden, da 82 Prozent aller „Payloads“ entweder aus „Emotet“ oder aktuellen Banking-Trojanern bestanden hätten.
• Die Maschinenbau-, Automobil- und Bildungsbranche seien im ersten Quartal 2019 am stärksten von E-Mail-Betrug (auch BEC- oder CEO-Betrug genannt) betroffen gewesen.
• Über alle Branchen hinweg seien attackierte Unternehmen durchschnittlich 47 solcher Angriffe ausgesetzt gewesen – dieser Wert liege zwar hinter dem Rekord des vierten Quartals 2018 zurück, „könnte aber ein Zeichen für eine zunehmend selektive Ausrichtung auf einzelne Mitarbeiter, und saisonale Schwankung sein“.
• Social-Engineering-Angriffe, kompromittierte Websites sowie Malvertising-Bedrohungen hätten sich gegenüber dem vierten Quartal 2018 um rund 50 Prozent verringert. Dies scheine einen saisonalen Trend widerzuspiegeln – die Aktivität in diesen Bereichen sei dennoch 16-mal höher als im Vorjahresquartal gewesen.
• Die Anzahl betrügerischer Domains mit SSL-Zertifikat zur Vortäuschung der Legitimität habe sich im ersten Quartal 2019 verdreifacht. Nutzer, denen diese Domains online oder bei E-Mail-Angriffen begegnen, würden sich aufgrund dieser Taktik oft in falscher Sicherheit wiegen.
• Im ersten Quartal sei der Anteil der als potenziell betrügerisch identifizierten Domains, die tatsächlich auf eine IP-Adresse weitergeleitet hätten – also nicht nur „geparkt“ gewesen seien oder einen „404-Error“ ausgegeben hätten – um 26 Prozentpunkte höher gewesen als bei allen sonst im Web verfügbaren Domains. Bei den HTTP-Antworten habe der Wert gar um 43 Prozentpunkte höher gelegen als bei allen anderen Web-Domains.
• Lookalike-Domains seien allein im März 2019 zahlenmäßig fast genauso oft registriert worden wie in den vorangegangenen beiden Monaten zusammen.

Der aktuelle „Threat Report“ zu aktuellen Bedrohungen und Trends basiere dabei auf der Auswertung von Bedrohungen, denen die weltweit tätigen Kunden von Proofpoint in diesem Zeitraum ausgesetzt gewesen seien.

Abbildung: proofpoint.

„QUARTERLY THREAT REPORT Q1 2019“: aktuelle Bedrohungen und Trends

Weitere Informationen zum Thema:

proofpoint.
QUARTERLY THREAT REPORT Q1 2019

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 12.02.2019
proofpoint: Vierteljährlicher Report zur Bedrohungslage veröffentlicht