News

Zielgerichtete Paerls-Kampagne setzt altmodische Word Macro-Attacke ein

Jüngst wurde eine zielgerichtete Malware-Kampagne aufgedeckt, die einen old-school Malware-Angriff auf Microsoft Word mit einem eindeutig modernen Ansatz kombiniert, nämlich der Umleitung des Opfer auf bei Dropbox gespeicherten Exploits.

Wie das VRT-Team von Cisco berichtete, richten sich die ‚ String of Paerls-Attacken‘ gegen das Bankengewerbe, die Ölindustrie, die TV-Branche und gegen die Schmuckbranche, wobei überzeugende und individuell zugeschnittene Spear-Phishing-Mails versendet werden, die mit einem bösartigen Word-Dokument gespickt sind.

“Wenn das Opfer das Word-Dokument öffnet, feuert ein On-Open Macro, was den Download einer ausführbaren Datei und deren Start auf dem Computer des Opfers zufolge hat”, erklärten die Forscher von Cisco.

In einem der E-Mail-Muster wird vorgegeben, im Attachment befinde sich ein Zahlungsbeleg der Containerschiffreederei Maersk; an andere Muster waren angeblich Rechnungen und Kaufaufträge angehängt. In den meisten Fällen heißen diese Attachments 2014-05.doc und sie öffnen umgehend eine Backdoor-Verbindung zu einer der beiden C&C-Server sowie zu einer Dropbox-Domain, dl[.]dropboxusercontent[.]com.

Die Dropbox-Domain hostet vier eigenständige Teile des Exploits, heißt es von Cisco, und die Experten des Unternehmens ergänzen, dass sie Dropbox bereits informiert haben und die fraglichen Links mittlerweile deaktiviert seien. Die anderen zwei Domains, die von der Malware kontaktiert werden, sind londonpaerl[.]co[.]uk und selombiznet[.]in.

Londonpaerl ist eine Tippfehlerdomain von Londonpearl, einem auf Perlen spezialisierten Edelschmuckanbieter. Auf der Domain Londonpaerl befindet sich die Website einer angeblichen Arbeitsvermittlung.

Laut Cisco erhielt das Unternehmen eine ungefähre Vorstellung von den in die Angriffe verwickelten Akteuren, nachdem es verschiedene Whois-Einträge analysiert hatte, die an die Command- und Control-Domains angehängt waren. Beispielsweise war als Adresse des Besitzers der Domain selombiznet “2 close medical/medicle road” angegeben. Weitere Untersuchungen zeigten, dass dieselbe Phrase mit Registrierungseinträgen für sechs Domains in Verbindung steht, die seit März 2012 bei Malware-Attacken benutzt wurden.

“Während unserer Ermittlungen identifizierten wir verschiedene Kampagnen unter Einsatz vieler anderer Schadprogramme, die unserer Meinung nach mit diesem Angreifer in Verbindung gebracht werden können. Viele der Domains sind vermutlich aufgrund von früherer schädlicher Aktivität gesperrt“, heißt es von Cisco. “ Tatsächlich änderte der Angreifer während unserer Ermittlungen mehrmals die Informationen über einige Domains. Doch wenn man den Whois-Verlauf verfolgt, so kann man glücklicherweise alle diese Informationen einsehen, inklusive Ausweichmanöver.”

Es handelt sich hierbei nicht um die erste Phishing-Kampagne, bei der die Opfer zu Dropbox geschickt werden. Im Juni berichteten die Forscher von PhishMe von einem Angriff, im Rahmen dessen den Nutzern ein Dropbox-Link geschickt wurde, unter dem sich eine Zip-Datei mit einer Version des Banken-Trojaners Zeus verbarg. Die Zeus-Kampagne war, anders als die aktuelle, nicht zielgerichtet, allerdings wurden ähnliche Köder eingesetzt, wie etwa der Verweis auf Rechnungen oder Zahlungsbelege.

Quelle: Threatpost

Zielgerichtete Paerls-Kampagne setzt altmodische Word Macro-Attacke ein

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach