Thought Leadership
Die jüngsten Spannungen zwischen den Vereinigten Staaten und dem Iran schürten überall auf der Welt – auch in Deutschland – Befürchtungen der Menschen vor einem drohenden Atomkrieg, einem dritten Weltkrieg. So teilte Twitter Anfang Januar mit, dass #WWIII als Hashtag zu diesem Zeitpunkt trendete.
Interessanterweise war nach Angaben von Google der „Dritte Weltkrieg“ ebenfalls Anfang Januar in Deutschland unter den drei häufigsten Suchbegriffen auf Google. Dies macht deutlich, wie stark sich hierzulande die Menschen mit diesem Thema auseinandersetzen.
Solche Trendthemen sind auch für Cyberkriminelle immer wieder ein vielversprechender Anlass, um eine Cyberattacke gegen Unternehmen, Behörden und private Nutzer zu initiieren. Denn im Rahmen dieser Angriffe nutzen sie Begriffe rund um ein Trendthema, um digitale Köder zu verbreiten, auf deren Basis dann die Anwender eine Malware auf ihren PCs installieren.
In einer aktuellen Angriffskampagne adressieren die Hacker nun Unternehmen aus Deutschland und versuchen mit Hilfe von „GrandStealer“ gespeicherte Anmeldedaten und andere Informationen von infizierten Systemen zu erbeuten. Für diese Attacken versenden die Angreifer ein Dokument im Microsoft-Word-Format, das angeblich „20 Tipps“ enthält, die dem Empfänger bei der Vorbereitung auf einen möglichen Krieg vorgeblich helfen sollen. Dieses Dokument ist jedoch mit Malware infiziert, dem erwähnten GrandStealer.
Öffnet nun ein Anwender dieses Dokument und aktiviert Makros, wird GrandStealer installiert. Diese Schadsoftware durchsucht den PCs in der Folge nach vertraulichen Daten, die sich von den Cyberkriminellen nutzen lassen. Dazu gehören unter anderem
- Google Chrome- und Firefox-Cookies, Anmeldedaten, AutoFill- und Kreditkartendaten
- Informationen aus Krypto-Wallets
- Anmeldedaten für die Fernwartung (RDP)
- Daten aus Instant-Messaging-Sitzungen per Telegramm
Das Besondere an dieser Kampagne ist, dass mit GrandStealer eine eher selten beobachtete Malware zum Einsatz kommt. Sie ist modular aufgebaut und damit für die Angreifer sehr flexibel nutzbar, um an den oben genannten Daten zu gelangen.
„Angst ist ein wichtiges Instrument im Werkzeugkasten der Cyberkriminellen – insbesondere bei Social Engineering“, erklärt Sherrod DeGrippo, Senior Director Threat Research, Proofpoint. „Die Angreifer benutzen Angst, um das Urteilsvermögen ihrer Opfer einzuschränken und sie dazu zu verleiten, Anhänge von E-Mails zu öffnen, die sie sonst nicht öffnen würden. Und die Furcht vor (vermeintlich) bevorstehenden Katastrophen gehört zu den stärksten, die es überhaupt gibt. Insofern nutzt diese jüngste Kampagne die Ängste der Menschen vor einem Atomkrieg aufgrund der erhöhten Spannungen zwischen dem Iran und den Vereinigten Staaten, um sie dazu zu bringen, eine bösartige Anlage zu öffnen, die Malware installiert. Einmal installiert, kann diese Malware eine Vielzahl persönlicher und finanzieller Informationen erbeuten. Diese jüngste Kampagne ist eine Mahnung, sich nicht von der Angst treiben zu lassen, Anhänge zu öffnen, die man sonst nicht öffnen würde”.
Dieser Screenshot zeigt eine Beispiel-E-Mail der Kampagne, mit deren Hilfe die Cyberkriminellen versuchen, sensible Daten von den PCs deutscher Unternehmen zu stehlen.
Das Bild kombiniert die Darstellung eines Atompilzes, die iranische und die US-amerikanische Flagge mit einer Warnung vor einem Atomkrieg. Das Dokument enthält angeblich „20 nützliche Tipps für Sie zusammengestellt“ und fordert mit „ACHTUNG! NICHT IGNORIEREN!“ den Empfänger nachdrücklich dazu auf, die angehängte Datei zu öffnen, die angeblich die 20 nützlichen Tipps enthält.
Doch wie bereits vielfach in der Vergangenheit betont, sollten alle Anwender, in Unternehmen, Behörden, Ämtern und natürlich auch private Anwender solchen Aussagen keinen Glauben schenken und keinesfalls ein Dokument eines unbekannten Absenders öffnen. Zusätzliche Vorsicht ist geboten bei E-Mails, die gezielt die Angst der Menschen schüren und ausnutzen wollen.
www.proofpoint.com/de
