Anzeige

Malware

Eine Cyberattacke der besonderen Art sorgt für immer größeres Aufsehen: Die E-Mail-basierte Angriffskampagne TA551, besser bekannt als Shathak, breitet sich weltweit immer mehr aus – auch im deutschsprachigen Raum.

„Bei Shathak handelt es sich um eine E-Mail-basierte Malware-Angriffskampagne, von der weltweit immer mehr Endanwender betroffen sind. Shathak ist enorm wandelbar, die gefälschten E-Mails wirken täuschend echt und sind so für die Betroffenen äußerst schwer zu erkennen. Da jeder Angriff anders verläuft und diese sehr gut getarnt sind, ist die Infektionsgefahr bei Betroffenen, die nicht über die Angriffskampagne informiert sind, als hoch einzuordnen“, warnt IT-Sicherheitsexpertin Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Zentraler Bestandteil der Angriffe ist eine E-Mail als Köder, bei der eine E-Mail-Kette vorgetäuscht wird. Die Täter verwenden gestohlene SMTP-Anmeldeinformationen und stellen aus zuvor erbeuteten Inhalten täuschend echte E-Mails zusammen, sodass deren Empfänger von vertrauenswürdigen E-Mails ausgehen. Die gefälschten E-Mails enthalten dabei Betreffzeilen und Inhalte, die sich auf die vorherige E-Mail-Kommunikation beziehen – zum Beispiel werden die Betreffzeile sowie interne Informationen aus dem Unternehmen individuell auf das jeweilige Opfer angepasst. „Die E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. In der E-Mail befindet sich ein passwortgeschützter Zip-Anhang, der ein malwareverseuchtes Dokument enthält, beispielsweise eine Microsoft-Office-Datei“, so Schrenk und erklärt, wie die Schadsoftware auf den Computer seines Opfers gelangt: „Der Benutzer wird im Text der E-Mail über das Passwort für den Zip-Anhang informiert. Öffnet er das Dokument, das in Form von Makros mit Malware infiziert ist, wird das System des Opfers mit der Malware infiziert.“ Bisher hat Shathak verschiedene Malware-Familien, wie zum Beispiel IcedID, Valak und Ursnif (Gozi/ISFB) verwendet.

Shathak, das zu Anfang vornehmlich auf englischsprachige Opfer abzielte, hat bereits Opfer in Deutschland, Italien und Japan gefunden. Auch die Verbreitungsmethode der Schadsoftware hat sich weiterentwickelt: Zu Anfang setzte die E-Mail-Angriffskampagne auf mehrere Malware-Familien. Vermehrt sind nun Fälle zu beobachten, in denen häufig IcedID als Schadsoftware eingesetzt wird. Dabei handelt es sich um einen sehr leistungsfähigen Trojaner, der ursprünglich auf die Erbeutung von Banking-Informationen eingesetzt wurde, sich aber nun vielseitig für andere Angriffe einsetzen lässt.

„Shathak ist besonders schwer erkennbar und wandelt sich sehr schnell, dadurch ist es sehr schwer, gefälschte E-Mails zu erkennen“, warnt Patrycja Schrenk und rät zur äußersten Vorsicht in der E-Mail-Kommunikation: „Eine gesunde Skepsis kann vor hohem Schaden und einer Infektion bewahren. Wer sich nicht sicher ist, ob eine E-Mail vertrauenswürdig ist, sollte sich nicht scheuen, beim Absender anzurufen, um sich über die Korrektheit der E-Mail vergewissern“, rät sie. Grundsätzlich gilt beim Umgang mit Shathak aber auch: Eine angemessene Spam-Filterung, ordnungsgemäße Systemadministration und aktuelle Windows-Hosts sorgen für ein deutlich geringeres Infektionsrisiko.

Weitere Informationen finden Sie hier.

www.psw-group.de
 


Artikel zu diesem Thema

Malware
Jul 18, 2021

Malware: Welche Verbreitungswege und Warnsignale gibt es?

Es vergeht kaum ein Tag, an dem nicht über neue Malwareangriffe berichtet wird: Mal nimmt…
Cyber Attacke
Feb 11, 2021

TA551/Shathak – Das Chamäleon unter den Cyberattacken

Gut getarnt und ein echter Killer – TA551 E-Mail-Spam-Angriffe bereiten vielen Analysten…
Malware
Dez 15, 2020

Makro-Malware: Perfide Schädlinge in Dokumenten

Makro-Malware hat mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der…

Weitere Artikel

Malware

Malware-Downloads erfolgten im Jahr 2021 meist über Cloud-Apps

Mehr als zwei Drittel der Malware-Downloads im Jahr 2021 stammen von Cloud-Apps. Google Drive wurde dabei als die App mit den meisten Malware-Downloads identifiziert und löst damit Microsoft OneDrive ab.
Hacker Link

Gefährliche Kommentare: Hacker verbreiten bösartige Links über Google Docs

Das Cybersicherheitsunternehmen Avanan warnt vor bösartigen Links in der Kommentarfunktion von Google Docs. Hacker nutzen das Produktivitätsfeature, um Spamfilter und Sicherheitstools zu umgehen.
Schwachstelle

Kritische JNDI-Schwachstelle - Unauthentifizierter RCE in der H2-Datenbank-Konsole

Die Sicherheitsforscher von JFrog haben vor kurzem ein Problem in der H2-Datenbankkonsole aufgedeckt, für das ein kritisches CVE vergeben wurde - CVE-2021-42392. Dieses Problem hat die gleiche Ursache wie die kürzlich bekanntgewordene Log4Shell-Schwachstelle…
Hacker

Angst vor einem Cyberkrieg wächst

In Deutschland wächst die Angst vor Cyberkriegen. 76 Prozent der Menschen im Land haben Angst vor einer Eskalation im digitalen Raum. 11 Prozent gehen sogar davon aus, dass diese in einem bewaffneten Konflikt enden kann.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.