Raffinierte Phishing-Kampagne überzieht Deutschland
Es wird vor einer neuen, besonders raffinierten Phishing-Kampagne gewarnt, die gezielt Nutzer in Deutschland und Polen ins Visier nimmt. Ziel dieser Kampagne ist die Verbreitung unterschiedlicher Malware-Varianten, darunter eine neuartige Backdoor mit dem Namen „TorNet“.
Die betrügerischen E-Mails erscheinen täuschend echt und geben sich als Überweisungsbestätigungen von Finanzinstituten oder als Auftragsbestätigungen von Produktions- und Logistikunternehmen aus. Die Bedrohung geht insbesondere von der Fähigkeit der Malware aus, unbemerkt Daten abzugreifen und sich innerhalb von Netzwerken auszubreiten.
Die Phishing-E-Mails sind vorwiegend in polnischer und deutscher Sprache verfasst. Dies deutet darauf hin, dass die Täter gezielt Nutzer in diesen beiden Ländern angreifen. Forscher von Cisco Talos haben außerdem einige Phishing-E-Mails aus derselben Kampagne entdeckt, die in englischer Sprache geschrieben sind. Inhalt und Dateinamen der E-Mail-Anhänge lassen mit mittlerer Sicherheit darauf schließen, dass die Täter finanziell motiviert sind.
Die Phishing-E-Mails enthalten Anhänge mit der Dateiendung „.tgz“. Das zeigt, dass die Täter das GZIP-Format verwenden, um ein TAR-Archiv mit schädlichen Dateien zu komprimieren. Dadurch bleiben die bösartigen Inhalte verborgen und die Erkennung der E-Mails wird erschwert.
Die neue Malware-Variante mit dem Namen „TorNet“ wird durch den PureCrypter-Loader installiert, sobald ein Nutzer den Anhang öffnet. Öffnet jemand den komprimierten Anhang, entpackt ihn manuell und startet die ausführbare .NET-Loader-Datei, wird verschlüsselte Malware von einem gehackten Server heruntergeladen.
Der Loader entschlüsselt die PureCrypter-Malware und führt sie im Systemspeicher aus. In einigen Fällen haben die Forscher beobachtet, dass die Malware anschließend die TorNet-Backdoor installiert und aktiviert. Diese stellt eine Verbindung zum Steuerungsserver (C2) her und verbindet den infizierten Computer mit dem TOR-Netzwerk. Die Backdoor kann weitere schädliche Programme vom C2-Server herunterladen und direkt im Speicher ausführen. Dadurch entsteht eine größere Angriffsfläche für weitere Attacken.
Eine zeitgemäße Schulung des Sicherheitsbewusstseins und ein sinnvolles Human Risk Management können Organisationen gegen Phishing und andere Social-Engineering-Angriffe absichern.
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
