News

Neue Cyberkampagne: Dridex greift französische Nutzer an

Nachdem die Behörden vor zwei Wochen noch über die Zerschlagung eines Botnetzes auf der Grundlage von Dridex berichteten, zeigt nun eine neue Untersuchung, dass der Bank-Trojaner noch immer quicklebendig und wohlauf ist.

Innerhalb von vier Tagen registrierten die Forscher des IT-Sicherheitsunternehmens Invincea 60 Fälle von Dridex-Infektionen in Frankreich. Die Angreifer verbreiten gefälschte Mails mit einer angehängten MS Office-Datei, die wie eine Rechnung von einem Hotel oder Online-Shop aussieht. Beim Öffnen dieses Dokuments wird ein Makro aktiviert, der das Opfer mit der schädlichen PIDARAS.exe ausstattet, die über ihren Steuerungsserver eine Verbindung mit den japanischen Hosts herstellt.

Die Experten erklären, dass die Cyberkriminellen mit einem solchen Zustellungsschema versuchen, die Mechanismen zur Erkennung von Internetbedrohungen zu umgehen. Darüber hinaus verwendet der Zielschädling ein Comodo-Zertifikat und ist daher in der Lage, die Schutztechnologien auszutricksen, die den signierten Code als vertrauenswürdig einstufen.

Zum gegenwärtigen Zeitpunkt richten sich die schädlichen Versendungen gegen französischsprachige Nutzer, denn der Name des schädlichen Anhangs folgt immer einem Muster: facture – französisch für ‚Rechnung‘, der Name eines Shops, dann ein Code. Es ist allerdings nicht ausgeschlossen, dass die laufende Dridex-Kampagne mit der Zeit auf andere Sprachen und Realia ausgeweitet wird.

„Die Angriffe in Frankreich könnten sich als Vorbote umfangreicherer Kampagnen erweisen, die sich dann auch gegen User in den USA und anderen Ländern richten, denn so war das schon häufiger mit Dridex“, warnen die Vertreter von Invincea in ihrer Pressemitteilung.

Im Oktober berichteten das FBI, das Justizministerium der USA und die britische National Crime Agency über eine gemeinsame Operation zur Zerschlagung eines großen Teils der von Dridex genutzten Infrastruktur. Fachlichen Beistand erhielten die Strafverfolgungsbehörden von den Experten von Dell SecureWorks, die einige Knoten in den trojanischen p2p-Netzen auf Sinkhole-Server umleiteten und etwa 4.000 Bots auf sie lenkten, die Frankreich und Großbritannien angriffen. Doch die Praxis zeigt, dass einige Subnetze offensichtlich außerhalb ihrer Reichweite lagen.

Dridex ist Anfang Oktober zurückgekehrt; als Erste bemerkten die Forscher von Palo Alto Networks die Rückkehr des Trojaners, als sie eine schädliche E-Mail-Versendung in Großbritannien entdeckten. So wie in der laufenden französischsprachigen Kampagne, forderten die Cyberkriminellen die Empfänger der Schreiben auch zu dem Zeitpunkt auf, Makros zu aktivieren, um sich selbst die Möglichkeit zu eröffnen, den Trojaner zu aktivieren.

Leider hatte die grenzübergreifende Operation zum Sturz von Dridex nur vorübergehenden Erfolg: Wie Brad Duncan vom ISC SANS kürzlich bemerkte, verschwand dieser Trojaner nur für einen Monat von der Bildfläche. Laut Angaben des Experten registrierte das SANS-Institut im September nicht eine einzige Spam-Versendung, die auf die Verbreitung von Dridex abzielte. Auf VirusTotal erschienen in dieser Zeit ebenfalls keine neuen Samples, erst am 1. Oktober wurden ihnen wieder Samples zur Überprüfung zugestellt, ungefähr zu dem Zeitpunkt, als Palo Alto eine erhöhte Aktivität des Bankers registrierte.

Quelle: Threatpost

Neue Cyberkampagne: Dridex greift französische Nutzer an

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach