VERANSTALTUNGEN

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Verbreitung erfolgt über Word-Dokumente.

Palo Alto Networks warnt vor dem Banking-Trojaner Dridex. Der jüngste Ableger der Reihe Bugat/Feodo/Cridex ist seit seinem Auftauchen im Juli 2014 immer wieder in Erscheinung getreten. Bis zuletzt hat sich Dridex auf das Versenden von ausführbaren Attachments per E-Mail konzentriert. Diese Taktik scheint sich letzte Woche geändert zu haben, wie die Experten von Palo Alto Networks feststellen konnten. Die ausführbaren Attachments gelangen nun in Microsoft Word-Dokumenten, die Makros enthalten, die wiederum Malware herunterladen und ausführen, an ihren Bestimmungsort.

Wie sein Vorläufer, ist Dridex ein hochentwickelter Banking-Trojaner, ähnlich der berüchtigten Zeus-Malware. Seine Kernfunktionalität ist dazu konzipiert, die Anmeldeinformationen von Online-Banking-Websites zu stehlen und damit Kriminellen zu ermöglichen, diese Anmeldeinformationen zu verwenden, um Transfers zu initiieren. Dridex nutzt eine XML-basierte Konfigurationsdatei, um zu spezifizieren, welche Websites ins Visier genommen werden und weitere Optionen für die Malware festzulegen. Zum Beispiel gibt die Konfiguration vor, von welchen Websites Formulare erbeutet werden und welche Websites ignoriert werden sollen.

Die erste neue Angriffswelle startete am 21. Oktober, mit E-Mails, in denen behauptet wird, dass sie Rechnungen der britischen Baumarkt-Handelsgruppe Humber Merchants enthalten. Später zeigte sich, dass auch weitere Marken missbraucht wurden – nach dem gleichen Muster, also E-Mails mit Rechnungen. Bei der jüngsten Angriffswelle hat die WildFire-Infrastruktur von Palo Alto Networks neun verschiedene Word-Dokumente identifiziert, von denen jedes die gleiche Technik verwendet, um Dridex zu installieren. Die Word-Dokumente enthalten ein komplexes VBA-Makro, das eine ausführbare Datei von URLs herunterlädt und auf dem System ausführt.

Dies alles sind saubere Websites, die wohl von den Akteuren dieser Dridex-Kampagne kompromittiert wurden. Die Dateien sind jeweils verschiedene Versionen der Dridex-Malware, die über HTTP mit ihrem Command&Control-Servern kommunizieren.

„Während der jüngste Angriff letzte Woche begann, war Dridex bereits seit Ende Juli in freier Wildbahn aktiv. Seitdem konnte unser WildFire-System die Dridex-Varianten sehr effektiv erfassen. Infolgedessen haben wir Daten über die gesamte Malware, bei der wir eine Kommunikation mit bekannten Dridex-Command-and-Control-Servern feststellten, herangezogen, um eine Idee vom Umfang der Dridex-Aktivitäten seit deren Start zu bekommen“, erklärt Thorsten Henning, Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. „Abuse.ch betreibt den Feodo Tracker, der diese Server und jene, die von früheren Versionen des Trojaners verwendet werden, beobachtet.“

Während die neuesten Angriffe sicherlich signifikant sind, lag das Volumen, das die Experten von Palo Alto Networks nun erfasst haben, niedriger als im Juli und August, als die ersten Varianten von Dridex beobachtet wurden. Palo Alto Networks rät den Banken, sich gegen die Dridex-Angriffswelle durch Deaktivieren von Makros in Microsoft Word zu schützen. Makro-basierte Malware gibt es schon seit mehr als einem Jahrzehnt. Die meisten Unternehmen sollten sie standardmäßig deaktiviert haben, so dass Makros nur für vertrauenswürdige Dateien erlaubt sind.

www.paloaltonetworks.com

GRID LIST
Bitcoin

Bitcoin unter 6.000 Dollar gefallen

Die Bitcoin ist in den frühen Morgenstunden auf unter 6.000 Dollar gefallen und lag…
Investment Series D

Exabeam erhält 50 Millionen Dollar mit neuer Finanzierungsrunde

Exabeam, ein Hersteller von Lösungen für Security Intelligence und Management (SIEM), hat…
Hand mit Maus treibt Flugzeug an

Kooperation von Mindtree und Lufthansa: Flugbuchung direkt auf Drittseiten

Der Software-Dienstleister Mindtree erweitert Lufthansas Open API um Buchungsfunktion.
Ein neues Fenster in der Wrike Desktop-App öffnen.  (Copyright Wrike)

Wrike stellt neue Desktop-App vor

Wrike, ein Experte für Arbeitsmanagement, stellt eine neue Desktop-Anwendung vor, die ein…
Smartphone

Gefährliche Sicherheitslücken in Tracker-Apps

Viele Tracker-Apps, mit denen beispielsweise Eltern ihre Kinder orten können, haben…
Gesundheitswesen

Fälschung medizinischer Daten leichter als erwartet

Das Advanced-Threat-Forschungsteam von McAfee hat auf der Defcon Hacking-Konferenz, die…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security