Anzeige

Bild: Olga Ganovicheva / Shutterstock.com

Im Laufe des Dezember 2020 hat das Cybereason Nocturnus-Team Cybercrime-Kampagnen aufgespürt, die mit der Weihnachtszeit und insbesondere mit Online-Shopping verbunden sind. 2020 ist aus naheliegender Gründen ein Jahr, in dem Verbraucher ihre Einkaufsgewohnheiten geändert haben beziehungsweise ändern mussten und jetzt einen Großteil ihrer Einkäufe online erledigen. 

Endverbraucher sind schon lange ein beliebtes Ziel für Cyberkriminelle. Das durch die COVID-19-Pandemie stark gestiegene Volumen beim Online-Shopping, macht diese Art der Angriffe potenziell noch attraktiver. Laut der Daten des aktuellen IBM U.S. Retail Index, der im August dieses Jahres veröffentlicht wurde "hat die Pandemie die Verlagerung von physischen Ladengeschäften hin zu digitalen Einkäufen um eine Größenordnung von etwa fünf Jahren beschleunigt" und der "E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen."

Cyber-Kriminelle verfolgen diese Trends sehr aufmerksam, um daraus Kapital zu schlagen. Eine kürzlich beobachtete Kampagne nutzt Scams mit gefälschten Amazon-Geschenkkarten, um den berüchtigten Banking-Trojaner Dridex einzuschleusen.

Amazon Phishing-E-Mail. Bild: @JAMESWT_MHT


Die wichtigsten Ergebnisse auf einen Blick:

  • Bedrohungsakteure nutzen die Weihnachtszeit gezielt aus: Cyberkriminelle profitieren vom steigenden Volumen beim Online-Shopping und nehmen mit Amazon gezielt die Nutzer einer der beliebtesten Shopping-Plattformen ins Visier.
  • Ziele in den USA und den westeuropäischen Ländern: Die überwiegende Mehrzahl der Opfer scheint sich in den USA und Westeuropa zu befinden. Dort ist Amazon sehr populär und verfügt über lokale Websites.
  • Social Engineering: Die Kampagne verwendet legitim erscheinende E-Mails, Icons und Namenskonventionen, um die Opfer zu täuschen und zum Herunterladen der bösartigen Anhänge zu verleiten.
  • Unterschiedliche Infektionswege: Es sind drei unterschiedliche Infektionswege beobachtet worden: SCR-Dateien, ein bösartiges Dokument und ein VBScript.
  • Mehrstufig: Jeder einzelne dieser Infektionsmechanismen enthält mehrere Stufen, entweder wird ein
  • passwortgeschütztes Archiv entpackt, das verschiedene Dateitypen enthält, oder es werden PowerShell-Befehle ausgeführt, um eine Verbindung mit dem C2-Server herzustellen.
  • Finale Payload mit schwerwiegenden Folgen: Bei der finalen Payload handelt es sich um den berüchtigten Dridex-Trojaner.

Hintergrund

Dridex ist einer der berüchtigtsten und produktivsten Banken-Trojaner, der in verschiedenen Varianten seit mindestens 2012 kursiert und zuvor als Feodo (AKA Cridex, Bugat) in Erscheinung getreten ist. Es handelt sich um eine schwer fassbare, sogenannte evasive Malware, die E-Banking-Zugangsdaten und andere sensible Informationen stiehlt.

Die Command-and-Control-Server-(C2)-Infrastruktur ist ausgesprochen robust.Die Server fungieren dabei untereinander als Backup. Fällt einer der Server aus, wird eine Verbindung mit dem nächsten in der Reihe hergestellt, so dass Dridex die gestohlenen Daten auch tatsächlich abziehen kann.

Dridex wird am häufigsten über Phishing-E-Mails verbreitet, die Microsoft Office-Dokumente mit bösartigen Makros enthalten. Dridex wird außerdem ständig mit neuen Funktionen aktualisiert, die verhindern sollen, dass die Malware analysiert werden kann. Dridex wird größtenteils von Evil Corp betrieben, einer der finanzstärksten
Cybercrime-Gruppierungen, die bereits seit mehr als einem Jahrzehnt aktiv ist. Einer ihrer bekanntesten Verbündeten ist TA505, ebenfalls eine finanziell motivierte Gruppe, die Dridex seit 2014 vertreibt. TA505 setzt bekanntermaßen weitere Malware wie etwa SDBOT, Servhelper und FlawedAmmyy sowie die C LOP-Ransomware ein.

Die aktuelle Kampagne richtet sich gegen Endverbraucher. Ihnen wird fälschlicherweise mitgeteilt, dass sie eine Amazon-Geschenkkarte bekommen haben. Fällt das Opfer auf den Betrug herein, kann das Ziel über drei ähnliche, aber dennoch unterschiedliche Wege infiziert werden:

  • Ein Word-Dokument mit dem typischen bösartigen Makro
  • Eine selbstextrahierende SCR-Datei, eine bekannte Technik von Dridex
  • Eine VBScript-Datei als E-Mail-Anhang, auch das eine bekannte Technik in Zusammenhang mit Dridex

Daniel Frank, www.cybereason.com/de/

  

 

Weitere Artikel

Phishing

Business-E-Mail Compromise – die vernachlässigte Cybersecurity-Bedrohung

Das FBI beschreibt Business-E-Mail Compromise (BEC) als einen ausgeklügelten Betrug, auch CEO-Betrug genannt, der auf Unternehmen abzielt, die mit ausländischen Lieferanten zusammenarbeiten und/oder regelmäßig Überweisungen tätigen.
Ransomware

Fertigungs- und Produktionsbetriebe zahlen am seltensten Ransomware-Lösegeld

19 Prozent. Nur so wenige Unternehmen aus der Fertigung und Produktion bezahlen Lösegeld nach einem Ransomware-Angriff, um ihre verschlüsselten Daten zu befreien. Weitaus weniger als der branchenübergreifende Durchschnitt mit 32 Prozent.
Industrie 4.0

Schlecht geschützte industrielle Steuerungssysteme gefährden KRITIS

Industrielle Steuerungssysteme sind oft unzureichend gegen Cyberattacken gesichert, wie Sicherheitsforscher von CloudSEK berichten. Das betrifft auch Unternehmen der Kritischen Infrastruktur.
Cyber Crime

Brand Protection - Von Einhörnern und Cyberverbrechen

Unternehmen investieren viel Geld und Energie in den Markenaufbau. Die Marke ist mittlerweile einer der wichtigsten Erfolgsfaktoren eines Unternehmens – ob Mittelstand oder Großkonzern. Sie zu schützen ist also essenziell.
TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.