Fünf Jahre andauernde Phishing-Kampagne aufgedeckt

UPDATE: In einer früheren Version dieser Geschichte hieß es, dass Cyphort 300.000 gestohlene Datensätze auf einem Gmail-Server gefunden habe. Diese Zahl wurde von der Firma inkorrekt dargestellt und in dieser Version des Berichts auf 2.500 gestohlene Datensätze korrigiert.

Jetzt wurden Details zu einer bereits fünf Jahre andauernden Phishing-Kampagne aufgedeckt, im Zuge derer Angreifer Anmeldedaten ihrer Opfer für Google, Yahoo, Facebook, Dropbox und Skype gestohlen haben.

NightHunter, wie die Kampagne von Forschern der Sicherheitsfirma Cyphort getauft wurde, dauert auch aktuell noch an, hat allerdings seine Zielgruppe geändert und greift nun nicht mehr Nutzer des Finanz- und Verkaufssektors und Personalabteilungen in Unternehmen an, sondern Firmen aus den Bereichen Energiewirtschaft, Bildung, Versicherungen sowie auch Wohlfahrtsorganisationen. An dieser Stelle ist nicht ganz genau klar, warum die Angreifer die Daten gestohlen haben, wenn nicht für die Verwendung in zukünftigen Kampagnen und Betrügereien.

“Der Einsatz von Taktiken zur Vermeidung der Detektion, wie etwa die Nutzung von Webmail zum Ausschleusen der Daten, deutet auf ein weitaus bedeutenderes Endziel hin”, schreibt McEnroe Navaraj, Sicherheitsexperte bei dem Unternehmen, in einem Blog.

Die Kampagne verwendet das Simple Mail Transfer Protocol (SMTP) oder E-Mail, um die gestohlenen Daten auszuschleusen. Es kommen zudem verschiedene Keylogger zum Einsatz, wie etwa Predator Pain, Limitless und Spyrix, um die Anmeldedaten abzusaugen. Die Keylogger können eine Handvoll Befehle ausführen, unter anderem Obfuskation, Entfernen von Browser-Daten, Erstellen von Screenshots und Deaktivierung des Produkts.

“Im Vergleich zum Social Networking ist E-Mail so wie herkömmliche Post im Vergleich zur elektronischen Post, sie ist veraltet und wird häufig übersehen, daher ist es der unauffälligere Weg zum Datenklau”, sagt Navaraj.

Die Keylogger dringen via Phishing-Mails mit vagen HR-bezogenen Betreffs wie etwa “Jobs List”, “PO”, “Order” und “Inquiry” in die Systeme ein. Die E-Mails sind ausgestattet mit schädlichen .DOC-, .ZIP- und .RAR-Attachments, doch laut Navaraj wurden auch Kombinationen mit IDM/7zip-Installern entdeckt.

Bei der Ausführung stiehlt die .NET-Binärdatei die Nutzer-Anmeldedaten und sendet sie an einen entfernten E-Mail-Server.

Tausende von gestohlenen Anmeldedaten wurden – zumindest zeitweise – auf Gmail-Servern versteckt; 3.000 Samples, von denen einige erstmals im Jahr 2009 erkannt wurden, wurden auf Googles Server smtp.googlemail.com/smtp.gmail.com gefunden, als die Forscher ihn letzte Woche untersuchten.

Da die Zahl der Gmail-Samples so hoch war, beschloss Cyphort, den auf die Site laufenden Traffic in das Malware-Lab des Unternehmens umzuleiten und fand heraus, dass viele Exemplare des Schädlings Obfuskation auf Codeebene einsetzen, um die Analyse zu erschweren.

“Gmail scheint in letzter Zeit der populärste E-Mail-Server bei Cyberkriminellen zu sein, die die Daten ihrer Opfer „zwischenparken“ wollen”, schreibt Navaraj. “Der Grund für die große Zahl an Samples, die Gmail nutzen, ist vermutlich (oder wahrscheinlich) die Popularität von Gmail und liegt zudem in der Tatsache, dass die meisten Sicherheitsprodukte den Traffic bzw. die Aktivität von Google/Gmail als vertrauenswürdig einstufen, und es Verbrechern so erleichtern, diese Mails unter der Masse an E-Mails, die an oder von Gmail geschickt werden, zu verbergen.”

Navaraj fügt hinzu, dass Gmail nun gewisse Beschränkungen einführt, bezüglich der Menge und Häufigkeit, mit der E-Mails an einem bestimmten Tag verschickt werden können. Das könnte die Cyberkriminellen dazu veranlassen, weitere Gmail-Accounts zu eröffnen, um in der Lage zu sein, weiterhin Schädlinge zu versenden.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.