Zielgerichtete Paerls-Kampagne setzt altmodische Word Macro-Attacke ein

Jüngst wurde eine zielgerichtete Malware-Kampagne aufgedeckt, die einen old-school Malware-Angriff auf Microsoft Word mit einem eindeutig modernen Ansatz kombiniert, nämlich der Umleitung des Opfer auf bei Dropbox gespeicherten Exploits.

Wie das VRT-Team von Cisco berichtete, richten sich die ‚ String of Paerls-Attacken‘ gegen das Bankengewerbe, die Ölindustrie, die TV-Branche und gegen die Schmuckbranche, wobei überzeugende und individuell zugeschnittene Spear-Phishing-Mails versendet werden, die mit einem bösartigen Word-Dokument gespickt sind.

“Wenn das Opfer das Word-Dokument öffnet, feuert ein On-Open Macro, was den Download einer ausführbaren Datei und deren Start auf dem Computer des Opfers zufolge hat”, erklärten die Forscher von Cisco.

In einem der E-Mail-Muster wird vorgegeben, im Attachment befinde sich ein Zahlungsbeleg der Containerschiffreederei Maersk; an andere Muster waren angeblich Rechnungen und Kaufaufträge angehängt. In den meisten Fällen heißen diese Attachments 2014-05.doc und sie öffnen umgehend eine Backdoor-Verbindung zu einer der beiden C&C-Server sowie zu einer Dropbox-Domain, dl[.]dropboxusercontent[.]com.

Die Dropbox-Domain hostet vier eigenständige Teile des Exploits, heißt es von Cisco, und die Experten des Unternehmens ergänzen, dass sie Dropbox bereits informiert haben und die fraglichen Links mittlerweile deaktiviert seien. Die anderen zwei Domains, die von der Malware kontaktiert werden, sind londonpaerl[.]co[.]uk und selombiznet[.]in.

Londonpaerl ist eine Tippfehlerdomain von Londonpearl, einem auf Perlen spezialisierten Edelschmuckanbieter. Auf der Domain Londonpaerl befindet sich die Website einer angeblichen Arbeitsvermittlung.

Laut Cisco erhielt das Unternehmen eine ungefähre Vorstellung von den in die Angriffe verwickelten Akteuren, nachdem es verschiedene Whois-Einträge analysiert hatte, die an die Command- und Control-Domains angehängt waren. Beispielsweise war als Adresse des Besitzers der Domain selombiznet “2 close medical/medicle road” angegeben. Weitere Untersuchungen zeigten, dass dieselbe Phrase mit Registrierungseinträgen für sechs Domains in Verbindung steht, die seit März 2012 bei Malware-Attacken benutzt wurden.

“Während unserer Ermittlungen identifizierten wir verschiedene Kampagnen unter Einsatz vieler anderer Schadprogramme, die unserer Meinung nach mit diesem Angreifer in Verbindung gebracht werden können. Viele der Domains sind vermutlich aufgrund von früherer schädlicher Aktivität gesperrt“, heißt es von Cisco. “ Tatsächlich änderte der Angreifer während unserer Ermittlungen mehrmals die Informationen über einige Domains. Doch wenn man den Whois-Verlauf verfolgt, so kann man glücklicherweise alle diese Informationen einsehen, inklusive Ausweichmanöver.”

Es handelt sich hierbei nicht um die erste Phishing-Kampagne, bei der die Opfer zu Dropbox geschickt werden. Im Juni berichteten die Forscher von PhishMe von einem Angriff, im Rahmen dessen den Nutzern ein Dropbox-Link geschickt wurde, unter dem sich eine Zip-Datei mit einer Version des Banken-Trojaners Zeus verbarg. Die Zeus-Kampagne war, anders als die aktuelle, nicht zielgerichtet, allerdings wurden ähnliche Köder eingesetzt, wie etwa der Verweis auf Rechnungen oder Zahlungsbelege.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.