Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Verbreitung erfolgt über Word-Dokumente.

Palo Alto Networks warnt vor dem Banking-Trojaner Dridex. Der jüngste Ableger der Reihe Bugat/Feodo/Cridex ist seit seinem Auftauchen im Juli 2014 immer wieder in Erscheinung getreten. Bis zuletzt hat sich Dridex auf das Versenden von ausführbaren Attachments per E-Mail konzentriert. Diese Taktik scheint sich letzte Woche geändert zu haben, wie die Experten von Palo Alto Networks feststellen konnten. Die ausführbaren Attachments gelangen nun in Microsoft Word-Dokumenten, die Makros enthalten, die wiederum Malware herunterladen und ausführen, an ihren Bestimmungsort.

Wie sein Vorläufer, ist Dridex ein hochentwickelter Banking-Trojaner, ähnlich der berüchtigten Zeus-Malware. Seine Kernfunktionalität ist dazu konzipiert, die Anmeldeinformationen von Online-Banking-Websites zu stehlen und damit Kriminellen zu ermöglichen, diese Anmeldeinformationen zu verwenden, um Transfers zu initiieren. Dridex nutzt eine XML-basierte Konfigurationsdatei, um zu spezifizieren, welche Websites ins Visier genommen werden und weitere Optionen für die Malware festzulegen. Zum Beispiel gibt die Konfiguration vor, von welchen Websites Formulare erbeutet werden und welche Websites ignoriert werden sollen.

Die erste neue Angriffswelle startete am 21. Oktober, mit E-Mails, in denen behauptet wird, dass sie Rechnungen der britischen Baumarkt-Handelsgruppe Humber Merchants enthalten. Später zeigte sich, dass auch weitere Marken missbraucht wurden – nach dem gleichen Muster, also E-Mails mit Rechnungen. Bei der jüngsten Angriffswelle hat die WildFire-Infrastruktur von Palo Alto Networks neun verschiedene Word-Dokumente identifiziert, von denen jedes die gleiche Technik verwendet, um Dridex zu installieren. Die Word-Dokumente enthalten ein komplexes VBA-Makro, das eine ausführbare Datei von URLs herunterlädt und auf dem System ausführt.

Dies alles sind saubere Websites, die wohl von den Akteuren dieser Dridex-Kampagne kompromittiert wurden. Die Dateien sind jeweils verschiedene Versionen der Dridex-Malware, die über HTTP mit ihrem Command&Control-Servern kommunizieren.

„Während der jüngste Angriff letzte Woche begann, war Dridex bereits seit Ende Juli in freier Wildbahn aktiv. Seitdem konnte unser WildFire-System die Dridex-Varianten sehr effektiv erfassen. Infolgedessen haben wir Daten über die gesamte Malware, bei der wir eine Kommunikation mit bekannten Dridex-Command-and-Control-Servern feststellten, herangezogen, um eine Idee vom Umfang der Dridex-Aktivitäten seit deren Start zu bekommen“, erklärt Thorsten Henning, Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. „Abuse.ch betreibt den Feodo Tracker, der diese Server und jene, die von früheren Versionen des Trojaners verwendet werden, beobachtet.“

Während die neuesten Angriffe sicherlich signifikant sind, lag das Volumen, das die Experten von Palo Alto Networks nun erfasst haben, niedriger als im Juli und August, als die ersten Varianten von Dridex beobachtet wurden. Palo Alto Networks rät den Banken, sich gegen die Dridex-Angriffswelle durch Deaktivieren von Makros in Microsoft Word zu schützen. Makro-basierte Malware gibt es schon seit mehr als einem Jahrzehnt. Die meisten Unternehmen sollten sie standardmäßig deaktiviert haben, so dass Makros nur für vertrauenswürdige Dateien erlaubt sind.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int 65577833232640e73817a8009a3db546

Wieder DDoS-Attacke auf Bitfinex

Bitfinex, die weltweit größte Tauschbörse für Kryptowährungen, war gezwungen die…
Ransomware

Ransomware? Nie gehört

Laut einer aktuellen Umfrage des Branchenverbandes Bitkom wissen nur vier von zehn…
Florian Purnhagen

Neuer Teammanager SAP Analytics bei ARITHNEA

Florian Purnhagen, 38, verstärkt ab sofort den Digital-Business-Experten ARITHNEA als…
Florian Gramse

Avast verstärkt Channel-Team mit neuem Partner Account Manager

Avast verstärkt sein Channel-Team mit dem neuen Partner Account Manager Florian Gramse.…
Handschlag

Genesys schließt Partnerschaft mit globalen Telekommunikationsunternehmen

Genesys kündigt einen neuen, weltweiten Vertriebskanal für Wiederverkäufer von Genesys…
Glasfaser

39000 Haushalte gehen ab heute mit 100 MBit/s ins Netz

Der Vectoring-Ausbau der Telekom geht in den Jahresendspurt. Heute gehen weiter 39000…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security