Anzeige

Phishing Smartphone

Mit einem angeblichen Probeabo werden die Opfer einer neuen Phishing-Masche dazu verleitet, sich bei einem Callcenter zu melden. Doch statt Hilfe erwartet sie unter der Nummer die Malware BazaLoader.

In den USA läuft derzeit eine besonders trickreiche Phishing-Kampagne, die nicht nur auf die Verbreitung per E-Mail, sondern auch auf telefonischen Kontakt setzt. Die Opfer erhalten dabei eine E-Mail, die auf den baldigen Ablauf ihres Probeabos bei einem obskuren Streaming-Dienst namens BravoMovies hinweist. Sollten diese nicht von der telefonischen Kündigung Gebrauch machen, würden ihnen künftig 39,99 Dollar monatlich in Rechnung gestellt werden. Netterweise wird die Telefonnummer des Kundendienstes bereits in dieser E-Mail genannt. Ruft das empörte Opfer bei dieser Hotline an, meldet sich ein verständnisvoller Mitarbeiter des Kundendienstes und bietet an, das Opfer durch den Kündigungsprozess auf der Webseite von BravoMovies zu leiten.

Tatsächlich soll der Anrufer jedoch ausgetrickst werden, um die Malware BazaLoader zu installieren. Das Opfer muss für die Beendigung des vermeintlichen Probeabos laut Anweisung nun auf eine „Subscription“-Seite gehen, die es dazu auffordert, eine Excel-Datei herunterzuladen. Diese wiederum enthält Makros, die dann im Hintergrund die Malware downloaden, sofern Makros auf dem Rechner aktiviert sind. Das Opfer bekommt von diesem Vorgang nichts mit und wiegt sich in Sicherheit, sobald der vermeintliche Kündigungsprozess abgeschlossen ist.

Beschrieben haben die neue Masche Sicherheitsforscher von Proofpoint in einem aktuellen Bericht. Sie weisen drauf hin, dass die Cyberkriminellen in diesem Fall besonders heimtückisch vorgehen und einige Maßnahmen ergriffen haben, damit die Opfer nicht misstrauisch werden. So wirkt beispielsweise die vermeintliche Webseite von BravoMovies durchaus überzeugend. Sie enthält sogar gefälschte Filmplakate, die auf die neusten Eigenproduktionen hinweisen. Dafür wurden Open-Source-Bilder mit Filmtiteln und Erscheinungsjahren versehen. Auch der Einsatz eines Callcenters erscheint auf den ersten Blick unnötig aufwendig, allerdings betonen die Sicherheitsforscher bei Proofpoint, dass dadurch die E-Mail einen glaubwürdigeren Eindruck macht und weniger Misstrauen erweckt. Hinzu kommt, dass die Opfer die URL der Webseite von BravoMovies selbst eingeben und den Download der Malware einleiten, was bereits einige wahrscheinlich aktivierte Sicherheitsmechanismen aushebelt.

Aktuell wird bei der Kampagne wie beschrieben die Malware BazaLoader heruntergeladen. Diese öffnet Angreifern eine Hintertür zu Windows-Rechnern, die als Angriffsvektor für weitere Malware, wie etwa Ransomware, genutzt werden kann. So nutzt beispielsweise die Ransomware RYUK BazaLoader, um die Microsoft-Netzwerke großer öffentlicher Organisationen zu infizieren. Damit stellt die aktuelle Kampagne durchaus ein großes Risiko dar. Die gute Nachricht für Unternehmen und Internetnutzer in Deutschland ist, dass bislang nur Fälle in den USA beobachtet wurden. Doch das bedeutet nicht, dass eine derartige Masche nicht auch bei uns möglich wäre. Es lohnt sich also, auch hierzulande aufmerksam zu bleiben und entsprechende Schritte zu unternehmen, um die Gefahren durch Malware zu minimieren. Im aktuellen Fall würde beispielsweise bereits die Deaktivierung von Makros einen gewissen Schutz bieten. Zusätzlich empfiehlt es sich, generell ohne Administratorrechte im Internet zu surfen, da sich Malware so nicht einfach im Hintergrund installieren kann.

www.8com.de
 


Artikel zu diesem Thema

Malware
Mai 31, 2021

BazaLoader-Malware fälscht Streaming-Service für Filme

Die Security Experten von Proofpoint, Inc., ein Next-Generation Cybersecurity- und…
Phishing
Mai 18, 2021

Phishing bleibt primäre Bedrohung

Im aktuellen Lagebild Cybercrime 2020 des BKA wird einmal mehr Phishing als primäre…
Ransomware
Jan 19, 2021

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl…

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.