SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

Verbreitung erfolgt über Word-Dokumente.

Palo Alto Networks warnt vor dem Banking-Trojaner Dridex. Der jüngste Ableger der Reihe Bugat/Feodo/Cridex ist seit seinem Auftauchen im Juli 2014 immer wieder in Erscheinung getreten. Bis zuletzt hat sich Dridex auf das Versenden von ausführbaren Attachments per E-Mail konzentriert. Diese Taktik scheint sich letzte Woche geändert zu haben, wie die Experten von Palo Alto Networks feststellen konnten. Die ausführbaren Attachments gelangen nun in Microsoft Word-Dokumenten, die Makros enthalten, die wiederum Malware herunterladen und ausführen, an ihren Bestimmungsort.

Wie sein Vorläufer, ist Dridex ein hochentwickelter Banking-Trojaner, ähnlich der berüchtigten Zeus-Malware. Seine Kernfunktionalität ist dazu konzipiert, die Anmeldeinformationen von Online-Banking-Websites zu stehlen und damit Kriminellen zu ermöglichen, diese Anmeldeinformationen zu verwenden, um Transfers zu initiieren. Dridex nutzt eine XML-basierte Konfigurationsdatei, um zu spezifizieren, welche Websites ins Visier genommen werden und weitere Optionen für die Malware festzulegen. Zum Beispiel gibt die Konfiguration vor, von welchen Websites Formulare erbeutet werden und welche Websites ignoriert werden sollen.

Die erste neue Angriffswelle startete am 21. Oktober, mit E-Mails, in denen behauptet wird, dass sie Rechnungen der britischen Baumarkt-Handelsgruppe Humber Merchants enthalten. Später zeigte sich, dass auch weitere Marken missbraucht wurden – nach dem gleichen Muster, also E-Mails mit Rechnungen. Bei der jüngsten Angriffswelle hat die WildFire-Infrastruktur von Palo Alto Networks neun verschiedene Word-Dokumente identifiziert, von denen jedes die gleiche Technik verwendet, um Dridex zu installieren. Die Word-Dokumente enthalten ein komplexes VBA-Makro, das eine ausführbare Datei von URLs herunterlädt und auf dem System ausführt.

Dies alles sind saubere Websites, die wohl von den Akteuren dieser Dridex-Kampagne kompromittiert wurden. Die Dateien sind jeweils verschiedene Versionen der Dridex-Malware, die über HTTP mit ihrem Command&Control-Servern kommunizieren.

„Während der jüngste Angriff letzte Woche begann, war Dridex bereits seit Ende Juli in freier Wildbahn aktiv. Seitdem konnte unser WildFire-System die Dridex-Varianten sehr effektiv erfassen. Infolgedessen haben wir Daten über die gesamte Malware, bei der wir eine Kommunikation mit bekannten Dridex-Command-and-Control-Servern feststellten, herangezogen, um eine Idee vom Umfang der Dridex-Aktivitäten seit deren Start zu bekommen“, erklärt Thorsten Henning, Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. „Abuse.ch betreibt den Feodo Tracker, der diese Server und jene, die von früheren Versionen des Trojaners verwendet werden, beobachtet.“

Während die neuesten Angriffe sicherlich signifikant sind, lag das Volumen, das die Experten von Palo Alto Networks nun erfasst haben, niedriger als im Juli und August, als die ersten Varianten von Dridex beobachtet wurden. Palo Alto Networks rät den Banken, sich gegen die Dridex-Angriffswelle durch Deaktivieren von Makros in Microsoft Word zu schützen. Makro-basierte Malware gibt es schon seit mehr als einem Jahrzehnt. Die meisten Unternehmen sollten sie standardmäßig deaktiviert haben, so dass Makros nur für vertrauenswürdige Dateien erlaubt sind.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int A7494390682e2c32932a1e4d7d1c3590

Karsten Kluge ist neuer Vizepräsident des BREKO

Der Bundesverband Breitbandkommunikation (BREKO) hat mit Karsten Kluge einen neuen…
Tb W190 H80 Crop Int 4c3fd43682e627aeae2c57682536f76f

Kälte zerstört Festplatten und Flash-Speicher

Die aktuellen Temperaturschwankungen um den Gefrierpunkt machen nicht nur Menschen zu…
Tb W190 H80 Crop Int 841b95f1487dc88b553766323d14e980

Neuer Regional Director CEEU bei Bitglass

CASB-Anbieter Bitglass hat Michael Scheffler zum Regional Director Central and Eastern…
Tb W190 H80 Crop Int 5ba37fe6a8a44fa22fd2902212c01ee8

Vectra schließt Finanzierungsrunde über 36 Millionen Dollar ab

Vectra hat eine weitere Finanzierungsrunde in Höhe von 36 Millionen US-Dollar…
Spyware

Avast entdeckt „Tempting Cedar Spyware“

Avast warnt vor einem gezielten Angriff über Facebook, bei dem sich Nutzer von…
Tb W190 H80 Crop Int 4619d0df0bd124e76a7cddedeee215c7

Enterprise-Blockchain-Projekte benötigen sichere Umgebung

e-shelter, Rechenzentrumsanbieter in Europa und ein Unternehmen der NTT Communications,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security