Dyreza scharf auf IT-Lieferungen

Im Laufe des letzten Jahres hat sich das Zielspektrum von Dyreza deutlich erweitert. Nach wie vor interessiert sich der Trojaner für die Schlüssel zu Online-Konten, doch er greift nun auch Experten aus dem Bereich Arbeitsvermittlung (wir erinnern an Salesforce.com), Hosting-Provider, Domain-Registratoren, Online-Einzelhändler und so weiter an.

Nun hat Proofpoint neue Informationen veröffentlicht, die darauf hinweisen, dass Dyreza es jetzt auch auf Identifikationsdaten von Beteiligten der Lieferkette von IT-Produkten abgesehen hat. In den neuen Konfigurationsdateien des Trojaners wurden die Namen von 20 anzugreifenden Organisationen aus diesem Bereich gefunden, unter anderem Softwareunternehmen, die in die Auftragsabwicklung und Lagerhaltung involviert sind, sowie Anbieter von Computer-Equipment.

„Diese Zielauswahl ist daher beunruhigend, da sie den gesamten Herstellungs- und Absatz-Zyklus umfasst“, kommentiert Kevin Epstein, Vice president of Advanced Security & Governance bei Proofpoint. „Die Lieferkette ist ein aussichtsreiches Ziel für Hacker, denn hier gibt es viele wertvolle Accounts zu holen. Hat man darauf Zugriff, kann man den Warenversand umleiten, Zahlungsaufträge und Rechnungen zugunsten fiktiver Unternehmen ausgeben, massenhaft Gutscheine und Geschenkkarten ausgeben. Das ist eine ernsthafte Bedrohung, wenn auch nicht ganz so verheerend wie der Hack von Online-Bankkonten. Die Logistik-Kette ist ein Schlüsselelement vieler Unternehmen.“

Der Bank-Trojaner Dyreza, alias Dyre, schleust sich in den Browser ein und modifiziert legitime Webseiten und Formulare. Er wird mittels Spam verbreitet und die „im Fluge“ gesammelten Informationen sendet er an den Betreiber. Dieser Trojaner ist auf dem Schwarzmarkt käuflich zu erwerben und er ist in zielgerichteten Attacken einsetzbar. „Seitdem er existiert, demonstriert Dyreza eine hohe Erfolgsquote“, räumt Epstein ein. „Kurze Herausgabe-Zyklen, häufige Updates mit Bug-Korrekturen und ähnliches. Das ist ein erfolgreiches Modell.“

Proofpoint hat eine Liste von IoCs sowie eine Aufstellung der neuen Dyreza-Ziele veröffentlicht. In der letztgenannten sind – neben Herstellern und Lagerhaltungsexperten – auch Unternehmen vertreten, die sich mit Inventarisierung und E-Commerce befassen, sowie Apple, Iron Mountain, Otterbox und Badger Graphics.

„Die zu beobachtenden Veränderungen sind beabsichtigt und sind eindeutig strategischer Natur: Die Cyberkriminellen greifen eine neue Branche an, wobei sie alle Glieder der Lieferkette einbeziehen“, konstatieren die Experten in ihrem Bericht. „Die Motivation liegt unserer Meinung nach in diesem Fall im finanziellen Vorteil. Registrierungsdaten für Zielsysteme eröffnen einem Angreifer alle Möglichkeiten zum Sammeln von Bezahlinformationen, zum Durchführen betrügerischer Transaktionen und zum Verändern der Lieferbedingungen.“

Das neuste Dyreza-Spam, das als Beispiel im Blog von Proofpoint präsentiert wird, ist mit einem schädlichen Anhang im doc-Format ausgestattet. Der Ziel-Schädling wird mit Hilfe eines VBA-Downloaders geladen, der in dieses Dokument integriert ist, gemäß dem Schema BartalexUpatre – Dyre. Im laufenden Jahr erlangten Spam-Versendungen, die schädliche Makros verwenden, große Popularität unter den Verbreitern von Bank-Schädlingen wie Dyre und Dridex.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.