VERANSTALTUNGEN

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

Verbreitung erfolgt über Word-Dokumente.

Palo Alto Networks warnt vor dem Banking-Trojaner Dridex. Der jüngste Ableger der Reihe Bugat/Feodo/Cridex ist seit seinem Auftauchen im Juli 2014 immer wieder in Erscheinung getreten. Bis zuletzt hat sich Dridex auf das Versenden von ausführbaren Attachments per E-Mail konzentriert. Diese Taktik scheint sich letzte Woche geändert zu haben, wie die Experten von Palo Alto Networks feststellen konnten. Die ausführbaren Attachments gelangen nun in Microsoft Word-Dokumenten, die Makros enthalten, die wiederum Malware herunterladen und ausführen, an ihren Bestimmungsort.

Wie sein Vorläufer, ist Dridex ein hochentwickelter Banking-Trojaner, ähnlich der berüchtigten Zeus-Malware. Seine Kernfunktionalität ist dazu konzipiert, die Anmeldeinformationen von Online-Banking-Websites zu stehlen und damit Kriminellen zu ermöglichen, diese Anmeldeinformationen zu verwenden, um Transfers zu initiieren. Dridex nutzt eine XML-basierte Konfigurationsdatei, um zu spezifizieren, welche Websites ins Visier genommen werden und weitere Optionen für die Malware festzulegen. Zum Beispiel gibt die Konfiguration vor, von welchen Websites Formulare erbeutet werden und welche Websites ignoriert werden sollen.

Die erste neue Angriffswelle startete am 21. Oktober, mit E-Mails, in denen behauptet wird, dass sie Rechnungen der britischen Baumarkt-Handelsgruppe Humber Merchants enthalten. Später zeigte sich, dass auch weitere Marken missbraucht wurden – nach dem gleichen Muster, also E-Mails mit Rechnungen. Bei der jüngsten Angriffswelle hat die WildFire-Infrastruktur von Palo Alto Networks neun verschiedene Word-Dokumente identifiziert, von denen jedes die gleiche Technik verwendet, um Dridex zu installieren. Die Word-Dokumente enthalten ein komplexes VBA-Makro, das eine ausführbare Datei von URLs herunterlädt und auf dem System ausführt.

Dies alles sind saubere Websites, die wohl von den Akteuren dieser Dridex-Kampagne kompromittiert wurden. Die Dateien sind jeweils verschiedene Versionen der Dridex-Malware, die über HTTP mit ihrem Command&Control-Servern kommunizieren.

„Während der jüngste Angriff letzte Woche begann, war Dridex bereits seit Ende Juli in freier Wildbahn aktiv. Seitdem konnte unser WildFire-System die Dridex-Varianten sehr effektiv erfassen. Infolgedessen haben wir Daten über die gesamte Malware, bei der wir eine Kommunikation mit bekannten Dridex-Command-and-Control-Servern feststellten, herangezogen, um eine Idee vom Umfang der Dridex-Aktivitäten seit deren Start zu bekommen“, erklärt Thorsten Henning, Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. „Abuse.ch betreibt den Feodo Tracker, der diese Server und jene, die von früheren Versionen des Trojaners verwendet werden, beobachtet.“

Während die neuesten Angriffe sicherlich signifikant sind, lag das Volumen, das die Experten von Palo Alto Networks nun erfasst haben, niedriger als im Juli und August, als die ersten Varianten von Dridex beobachtet wurden. Palo Alto Networks rät den Banken, sich gegen die Dridex-Angriffswelle durch Deaktivieren von Makros in Microsoft Word zu schützen. Makro-basierte Malware gibt es schon seit mehr als einem Jahrzehnt. Die meisten Unternehmen sollten sie standardmäßig deaktiviert haben, so dass Makros nur für vertrauenswürdige Dateien erlaubt sind.

www.paloaltonetworks.com

GRID LIST
Akquisition

F-Secure übernimmt MWR InfoSecurity

F-Secure erweitert sein Team um hunderte führende Cyber Security-Experten. Mit der…
EU-Flagge Tablet

Bitkom kritisiert Entwurf zur neuen EU-Urheberrechtsrichtlinie

Die EU verhandelt derzeit eine neue Richtlinie zum Urheberrecht. Am 20. Juni 2018 stimmt…
Tb W190 H80 Crop Int 24604ee10746ae6b4b95fec185c1501a

Maßgeschneiderter SAP-Support: Application Management Services

Ein gefestigtes Verständnis über die Vorteile und Chancen einer Auslagerung von…
Tb W190 H80 Crop Int C33b57063fc5063ca9fc69f0921cfea4

Ceyoniq Technology und SRZ gestalten die digitale Verwaltung

Gemeinsame Lösung für die öffentliche Verwaltung: Die Ceyoniq Technology präsentiert auf…
Tb W190 H80 Crop Int Ec547a4e6e1344e179f2d9402c3a8ea0

Neue RDX-Wechselplatte mit 5 TB Kapazität

Overland-Tandberg hat die Verfügbarkeit eines neuen RDX-Wechselplattenmediums mit 5 TB…
Tb W190 H80 Crop Int 8a0eccdd4f6a37da4e3f181650e8b3dc

Neue Timeline: Twitter will mehr News integrieren

Der Kurznachrichtendienst Twitter will die Timelines seiner Nutzer stark verändern, so…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security