Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Verbreitung erfolgt über Word-Dokumente.

Palo Alto Networks warnt vor dem Banking-Trojaner Dridex. Der jüngste Ableger der Reihe Bugat/Feodo/Cridex ist seit seinem Auftauchen im Juli 2014 immer wieder in Erscheinung getreten. Bis zuletzt hat sich Dridex auf das Versenden von ausführbaren Attachments per E-Mail konzentriert. Diese Taktik scheint sich letzte Woche geändert zu haben, wie die Experten von Palo Alto Networks feststellen konnten. Die ausführbaren Attachments gelangen nun in Microsoft Word-Dokumenten, die Makros enthalten, die wiederum Malware herunterladen und ausführen, an ihren Bestimmungsort.

Wie sein Vorläufer, ist Dridex ein hochentwickelter Banking-Trojaner, ähnlich der berüchtigten Zeus-Malware. Seine Kernfunktionalität ist dazu konzipiert, die Anmeldeinformationen von Online-Banking-Websites zu stehlen und damit Kriminellen zu ermöglichen, diese Anmeldeinformationen zu verwenden, um Transfers zu initiieren. Dridex nutzt eine XML-basierte Konfigurationsdatei, um zu spezifizieren, welche Websites ins Visier genommen werden und weitere Optionen für die Malware festzulegen. Zum Beispiel gibt die Konfiguration vor, von welchen Websites Formulare erbeutet werden und welche Websites ignoriert werden sollen.

Die erste neue Angriffswelle startete am 21. Oktober, mit E-Mails, in denen behauptet wird, dass sie Rechnungen der britischen Baumarkt-Handelsgruppe Humber Merchants enthalten. Später zeigte sich, dass auch weitere Marken missbraucht wurden – nach dem gleichen Muster, also E-Mails mit Rechnungen. Bei der jüngsten Angriffswelle hat die WildFire-Infrastruktur von Palo Alto Networks neun verschiedene Word-Dokumente identifiziert, von denen jedes die gleiche Technik verwendet, um Dridex zu installieren. Die Word-Dokumente enthalten ein komplexes VBA-Makro, das eine ausführbare Datei von URLs herunterlädt und auf dem System ausführt.

Dies alles sind saubere Websites, die wohl von den Akteuren dieser Dridex-Kampagne kompromittiert wurden. Die Dateien sind jeweils verschiedene Versionen der Dridex-Malware, die über HTTP mit ihrem Command&Control-Servern kommunizieren.

„Während der jüngste Angriff letzte Woche begann, war Dridex bereits seit Ende Juli in freier Wildbahn aktiv. Seitdem konnte unser WildFire-System die Dridex-Varianten sehr effektiv erfassen. Infolgedessen haben wir Daten über die gesamte Malware, bei der wir eine Kommunikation mit bekannten Dridex-Command-and-Control-Servern feststellten, herangezogen, um eine Idee vom Umfang der Dridex-Aktivitäten seit deren Start zu bekommen“, erklärt Thorsten Henning, Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. „Abuse.ch betreibt den Feodo Tracker, der diese Server und jene, die von früheren Versionen des Trojaners verwendet werden, beobachtet.“

Während die neuesten Angriffe sicherlich signifikant sind, lag das Volumen, das die Experten von Palo Alto Networks nun erfasst haben, niedriger als im Juli und August, als die ersten Varianten von Dridex beobachtet wurden. Palo Alto Networks rät den Banken, sich gegen die Dridex-Angriffswelle durch Deaktivieren von Makros in Microsoft Word zu schützen. Makro-basierte Malware gibt es schon seit mehr als einem Jahrzehnt. Die meisten Unternehmen sollten sie standardmäßig deaktiviert haben, so dass Makros nur für vertrauenswürdige Dateien erlaubt sind.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int 99bc64c1fdc62752dc87f6ee6738e755

Bitkom zur Sicherheitslücke in WLAN-Verschlüsselung

Zu den Berichten über eine kritische Schwachstelle in der sogenannten…
Tb W190 H80 Crop Int 091423f173037e673ad0bce0c17c2477

WiFi-Schwachstelle „Krack“ belegt Bedeutung von Netzwerktransparenz | Statement

Das illegale Abfangen von Daten im WLAN ist seit langer Zeit ein Thema, das nun durch die…
Tb W190 H80 Crop Int 8f35ebcda3e59dc7ac91c6ea9a677193

Kritische Schwachstellen in WLAN-Verschlüsselung

Der Sicherheitsstandard WPA2, der insbesondere zur Verschlüsselung von WLAN-Netzwerken…
Tb W190 H80 Crop Int 95f65aac1ce34feb926ea874f51d1356

BNP Paribas und Tata Consultancy Services bündeln Kräfte

BNP Paribas Securities Services und Tata Consultancy Services (TCS) schaffen gemeinsam…
Tb W190 H80 Crop Int 38319e1ba60841148b6f36f6404f4f98

Google und Amazon erobern KMU-Kreditgeschäft

Google und Amazon haben Kreditvergaben für KMU als neuen Geschäftszweig für sich entdeckt…
Tb W190 H80 Crop Int 16c7e054468e671082a0eb46f4523e1b

Christian Kulick neu in der Geschäftsleitung des Bitkom

Christian Kulick (28) ist in die Geschäftsleitung des Digitalverbands Bitkom aufgerückt.…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet