Schlagwort-Archive: Spam

Coronavirus als Köder in Spam, Malware und bösartigen Domänen

Von Trend Micro

Wie nicht anders zu erwarten war, nutzen mittlerweile Angreifer die Thematik rund um das Coronavirus (COVID-19) als Köder in ihren Email Spam-Attacken. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, sowie auch die häufigere Verwendung der Wörter „coronavirus“ und „corona“ in Malware-Namen und bösartigen Domänen.

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang. So auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 1. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Versandvorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferdatum enthalten. Im folgenden Beispiel etwa soll vorgeblich der Anhang Einzelheiten für ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 2. COVID-19 -bezogene Spam-Email mit dem Thema Lieferverspätung

Andere Spam-Mails waren auf Italienisch oder Portugiesisch verfasst.

Malware-Dateien und Domänen

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste beider umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Trend Micros Endpoint-Lösungen wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

„Locky Poser“ ist nicht das, was die Malware vorgibt zu sein

Originalbeitrag von Ian Kenefick, Threats Analyst

Ransomware hatte zwar ihren Höhepunkt 2017 erreicht, dennoch gab es in der ersten Hälfte 2018 eine leichte Zunahme bei diesbezüglichen Aktivitäten – mit Anpassungen, um die Sicherheitslösungen zu umgehen, oder Täuschungen wie im Fall von PyLocky (RANSOM_PYLOCKY.A),die bewährte Ransomware nachahmt. Ende Juli und während des gesamten August gab es Wellen von Spam-Mails, welche die PyLocky Ransomware ablegten.

Auch wenn die Malware versucht, in der Lösegeldnachricht als Locky zu erscheinen, handelt es sich nicht um diesen Erpresser. PyLocks ist in Python geschrieben, mit PyInstaller gepackt und enthält bemerkenswerterweise Funktionalität gegen Machine Learning. Infolge des kombinierten Einsatzes des Inno Setup Installer (quelloffen und skript-basiert) und PyInstaller stellt die Malware statische Analysemethoden, einschliesslich ML-basierter Lösungen, vor Herausforderungen. Ähnlich agierten bereits Varianten von Cerber.

Die Verteilung von PyLocky scheint sich auf Europa, vor allem Frankreich, zu konzentrieren. Zwar begann die Spam-Kampagne klein, nahm jedoch später im Ausmass zu.

Bild 1: Distribution von PyLocky-bezogenem Spam vom 2. August (links) und 24. August (rechts)

Bild 2: PyLocky Lösegeld-Nachricht, die vorgibt, Locky Ransomware zu sein.

Technische Details zu der Bedrohung liefert der Originalbeitrag.