Anzeige

Bild: Olga Ganovicheva / Shutterstock.com

Im Laufe des Dezember 2020 hat das Cybereason Nocturnus-Team Cybercrime-Kampagnen aufgespürt, die mit der Weihnachtszeit und insbesondere mit Online-Shopping verbunden sind. 2020 ist aus naheliegender Gründen ein Jahr, in dem Verbraucher ihre Einkaufsgewohnheiten geändert haben beziehungsweise ändern mussten und jetzt einen Großteil ihrer Einkäufe online erledigen. 

Endverbraucher sind schon lange ein beliebtes Ziel für Cyberkriminelle. Das durch die COVID-19-Pandemie stark gestiegene Volumen beim Online-Shopping, macht diese Art der Angriffe potenziell noch attraktiver. Laut der Daten des aktuellen IBM U.S. Retail Index, der im August dieses Jahres veröffentlicht wurde "hat die Pandemie die Verlagerung von physischen Ladengeschäften hin zu digitalen Einkäufen um eine Größenordnung von etwa fünf Jahren beschleunigt" und der "E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen."

Cyber-Kriminelle verfolgen diese Trends sehr aufmerksam, um daraus Kapital zu schlagen. Eine kürzlich beobachtete Kampagne nutzt Scams mit gefälschten Amazon-Geschenkkarten, um den berüchtigten Banking-Trojaner Dridex einzuschleusen.

Amazon Phishing-E-Mail. Bild: @JAMESWT_MHT


Die wichtigsten Ergebnisse auf einen Blick:

  • Bedrohungsakteure nutzen die Weihnachtszeit gezielt aus: Cyberkriminelle profitieren vom steigenden Volumen beim Online-Shopping und nehmen mit Amazon gezielt die Nutzer einer der beliebtesten Shopping-Plattformen ins Visier.
  • Ziele in den USA und den westeuropäischen Ländern: Die überwiegende Mehrzahl der Opfer scheint sich in den USA und Westeuropa zu befinden. Dort ist Amazon sehr populär und verfügt über lokale Websites.
  • Social Engineering: Die Kampagne verwendet legitim erscheinende E-Mails, Icons und Namenskonventionen, um die Opfer zu täuschen und zum Herunterladen der bösartigen Anhänge zu verleiten.
  • Unterschiedliche Infektionswege: Es sind drei unterschiedliche Infektionswege beobachtet worden: SCR-Dateien, ein bösartiges Dokument und ein VBScript.
  • Mehrstufig: Jeder einzelne dieser Infektionsmechanismen enthält mehrere Stufen, entweder wird ein
  • passwortgeschütztes Archiv entpackt, das verschiedene Dateitypen enthält, oder es werden PowerShell-Befehle ausgeführt, um eine Verbindung mit dem C2-Server herzustellen.
  • Finale Payload mit schwerwiegenden Folgen: Bei der finalen Payload handelt es sich um den berüchtigten Dridex-Trojaner.

Hintergrund

Dridex ist einer der berüchtigtsten und produktivsten Banken-Trojaner, der in verschiedenen Varianten seit mindestens 2012 kursiert und zuvor als Feodo (AKA Cridex, Bugat) in Erscheinung getreten ist. Es handelt sich um eine schwer fassbare, sogenannte evasive Malware, die E-Banking-Zugangsdaten und andere sensible Informationen stiehlt.

Die Command-and-Control-Server-(C2)-Infrastruktur ist ausgesprochen robust.Die Server fungieren dabei untereinander als Backup. Fällt einer der Server aus, wird eine Verbindung mit dem nächsten in der Reihe hergestellt, so dass Dridex die gestohlenen Daten auch tatsächlich abziehen kann.

Dridex wird am häufigsten über Phishing-E-Mails verbreitet, die Microsoft Office-Dokumente mit bösartigen Makros enthalten. Dridex wird außerdem ständig mit neuen Funktionen aktualisiert, die verhindern sollen, dass die Malware analysiert werden kann. Dridex wird größtenteils von Evil Corp betrieben, einer der finanzstärksten
Cybercrime-Gruppierungen, die bereits seit mehr als einem Jahrzehnt aktiv ist. Einer ihrer bekanntesten Verbündeten ist TA505, ebenfalls eine finanziell motivierte Gruppe, die Dridex seit 2014 vertreibt. TA505 setzt bekanntermaßen weitere Malware wie etwa SDBOT, Servhelper und FlawedAmmyy sowie die C LOP-Ransomware ein.

Die aktuelle Kampagne richtet sich gegen Endverbraucher. Ihnen wird fälschlicherweise mitgeteilt, dass sie eine Amazon-Geschenkkarte bekommen haben. Fällt das Opfer auf den Betrug herein, kann das Ziel über drei ähnliche, aber dennoch unterschiedliche Wege infiziert werden:

  • Ein Word-Dokument mit dem typischen bösartigen Makro
  • Eine selbstextrahierende SCR-Datei, eine bekannte Technik von Dridex
  • Eine VBScript-Datei als E-Mail-Anhang, auch das eine bekannte Technik in Zusammenhang mit Dridex

Daniel Frank, www.cybereason.com/de/

  

 

Weitere Artikel

Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.
Phishing

Mehr Opfer von sicherheits- und personalbezogenem Phishing

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, veröffentlicht die Ergebnisse seines Q2 2021 Phishing Reports mit den meistgeklickten Phishing Betreffzeilen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.