Archiv der Kategorie: Spam

Der Lebenszyklus eines kompromittierten (Cloud) Servers

Originalbeitrag von Bob McArdle

Trend Micro Research hat ein breit angelegtes Forschungsprojekt zum cyberkriminellen Hosting und zur Infrastruktur im Untergrund durchgeführt. Ein erster Report dazu beschäftigte sich mit dem Angebot von Hacker-Infrastrukturen im Untergrund. In dem aktuellen zweiten Teil geht es um den Lebenszyklus von kompromittierten Servern und den verschiedenen Phasen, um daraus Gewinn zu schlagen. Es gilt dabei zu beachten, dass es für Kriminelle keine Rolle spielt, ob der Server On-Premise oder in der Cloud betrieben wird.

Cloud- versus On-Premise-Server

Cyberkriminellen ist es gleichgültig, wo sich die Server befinden. Sie können den Speicherplatz und die Rechenressourcen ausnutzen oder Daten stehlen, egal auf welche Art von Server sie zugreifen. Alles, was am meisten exponiert ist, wird höchstwahrscheinlich missbraucht.

Mit fortschreitender digitalen Transformation und zunehmendem Arbeiten von zuhause werden Cloud-Server am wahrscheinlichsten Bedrohungen ausgesetzt. Leider sind viele IT-Teams in Unternehmen nicht darauf eingerichtet, für die Cloud denselben Schutz zu bieten wie für On-Premise-Server.

Die Forscher betonen, dass dieses Szenario nur für Cloud-Instanzen gilt, die die Speicher- oder Verarbeitungsleistung eines lokalen Servers replizieren. Container oder serverlose Funktionen fallen nicht der gleichen Art von Kompromittierung zum Opfer. Wenn der Angreifer das Cloud-Konto kompromittiert – im Gegensatz zu einer einzelnen laufenden Instanz – entsteht ein völlig anderer Angriffszyklus, da die Angreifer Rechenressourcen nach Belieben in Anspruch nehmen können. Obwohl dies möglich ist, liegt der Fokus der Erforschung nicht darauf.

Alarmsignale für einen Angriff

Viele IT- und Sicherheitsteams suchen möglicherweise nicht nach früheren Stadien des Missbrauchs. Bevor Server jedoch von Ransomware betroffen sind, gibt es andere Alarmsignale, die die Teams auf die Bedrohung aufmerksam machen könnten.

Wenn ein Server kompromittiert und für Kryptowährungs-Mining (auch als Kryptomining bekannt) verwendet wird, kann dies eine der grössten Alarmsignale für das Sicherheitsteam sein. Die Entdeckung von Cryptomining Malware, die auf irgendeinem Server läuft, sollte dazu führen, dass das Unternehmen unverzüglich Massnahmen ergreift und eine Reaktion auf den Vorfall (Incident Response) einleitet, um diesen Server zu sperren.

Dieser Indicator of Compromise (IOC) ist wichtig, denn obwohl Cryptomining-Malware im Vergleich zu anderen Malware-Typen häufig als weniger schwerwiegend angesehen wird, dient sie auch als Taktik zum Geld machen. Sie kann im Hintergrund laufen, während der Serverzugriff für weitere bösartige Aktivitäten verkauft wird. Beispielsweise könnte der Zugang für die Nutzung als Server für unterirdisches Hosting verkauft werden. Gleichzeitig könnten die Daten exfiltriert und als persönlich identifizierbare Informationen (PII) oder für Industriespionage verkauft werden, auch könnten sie für einen gezielten Ransomware-Angriff verscherbelt werden. Dieses Szenario nutzen zumindest einige Access-as-a-Service (AaaS)-Kriminelle als Teil ihres Geschäftsmodells.

Lebenszyklus eines Angriffs

Attacken auf kompromittierte Server folgen einem allgemeinen Muster:

  • Ursprüngliche Kompromittierung: In dieser Phase ist es klar, dass ein Krimineller den Server übernommen hat.
  • Asset-Kategorisierung: Dies ist die Phase der Bestandsaufnahme. Der Kriminelle nimmt seine Einschätzung anhand von Fragen vor, wie etwa: Welche Daten befinden sich auf diesem Server? Besteht die Möglichkeit einer lateralen Bewegung zu etwas Lukrativerem? Wer ist das Opfer?
  • Exfiltrierung sensibler Daten: Der Kriminelle stiehlt unter anderem Unternehmens-E-Mails, Client-Datenbanken und vertrauliche Dokumente. Dies kann jederzeit nach der Kategorisierungsphase passieren, wenn der Angreifer etwas Wertvolles entdeckt hat.
  • Kryptowährungs-Mining: Während der Angreifer einen Kunden für den Serverraum, einen Zielangriff oder andere Mittel zur Geldgewinnung sucht, wird Cryptomining eingesetzt, um im Verborgenen Geld zu verdienen.
  • Wiederverkauf oder Nutzung für gezielte Angriffe mit dem Ziel, mehr Geld zu verdienen: Abhängig davon, was der Kriminelle bei der Kategorisierung der Assets findet, könnte er seinen eigenen gezielten Ransomware-Angriff planen, den Serverzugang für Wirtschaftsspionage oder für weitere Zwecke verkaufen.

Der Lebenszyklus eines kompromittierten Servers bezüglich der Möglichkeiten Gewinn daraus zu ziehen

Häufig ist der Einsatz gezielter Ransomware die letzte Phase. In den meisten Fällen zeigt die Kategorisierung der Assets Daten auf, die zwar für das Unternehmen wertvoll sind, die sich jedoch nicht unbedingt für Spionage eignen.

Ein tiefgreifendes Verständnis der Server und des Netzwerks ermöglicht es Kriminellen hinter einem gezielten Ransomware-Angriff, das Unternehmen dort zu treffen, wo es am meisten schmerzt. Diese Kriminellen kennen den Datenbestand, wissen, wo sie sich befinden, ob es Backups der Daten gibt und vieles mehr. Mit einer so detaillierten Blaupause der Organisation können sie kritische Systeme abriegeln und ein höheres Lösegeld fordern. Das zeigt auch der Halbjahresbericht 2020 von Trend Micro.

Darüber hinaus hat zwar ein Ransomware-Angriff die sichtbare Dringlichkeit für die Abwehr, aber derselbe Angriff könnte auch darauf hinweisen, dass etwas weitaus Schwerwiegenderes wahrscheinlich bereits stattgefunden hat: der Diebstahl von Unternehmensdaten, und dies ist bei der Reaktionsplanung des Unternehmens zu berücksichtigen. Noch wichtiger ist, dass sobald ein IOC für Krypto-Währung gefunden wurde, das Unternehmen in der Lage ist, den Angreifer sofort zu stoppen, um später erhebliche Zeit und Kosten zu sparen.

Letztendlich ist die Sicherheit der Hybrid-Cloud von entscheidender Bedeutung, um diesen Lebenszyklus zu verhindern, unabhängig davon, wo die Daten eines Unternehmens gespeichert sind.

Trend Micro Halbjahresbericht 2020: Sicherheit in pandemischen Zeiten

von Trend Micro

Die Covid-19-Pandemie hat die Cybersicherheitslandschaft in der ersten Hälfte 2020 stark geprägt. Während sich die Menschen an neue Arbeits- und Schulumgebungen anpassten, mussten Unternehmen für ihre Mitarbeiter Setups für die Arbeit zu Hause (Work-from-Home, WFH) schaffen und dabei dafür sorgen, dass deren Systeme auch sicher sind. Böswillige Akteure machten sich die Situation zunutze, indem sie das Thema Covid-19 für ihre Angriffe nutzten. Gruppen von Bedrohungsakteuren setzten ihre Kampagnen fort und dehnten ihre Reichweite auf neue Ziele und Plattformen aus, während sich die Betreiber von Ransomware weiterhin auf gezielte Angriffe konzentrierten. Trend Micro gibt in einer Zusammenfassung zur Jahresmitte 2020 den Überblick über die Trends und Ereignisse der ersten Jahreshälfte.

Böswillige Akteure haben schon immer gesellschaftlich relevante Ereignisse zur Durchsetzung ihrer Pläne genutzt, und bei Covid-19 ist das nicht anders. Die Sicherheitsforscher fanden eine Vielzahl von Vorfällen, in denen Cyberkriminelle pandemiebezogene Köder für ihre bösartigen Aktivitäten einsetzten, von relativ harmlosen Betrugsmaschen bis hin zu destruktiven Kampagnen, die fortgeschrittene Malware verbreiteten.

Der abrupte Wechsel auf WFH-Setups stellte Unternehmen vor zahlreiche Herausforderungen. Abgesehen von der Notwendigkeit, den Mitarbeitern die für die Aufrechterhaltung des Betriebs benötigten Werkzeuge zur Verfügung zu stellen, hatten Unternehmen mit Fragen der Kommunikation, Konnektivität und sogar der Zuweisung von IT-Ressourcen zu kämpfen.

Bild 1. Zahl und Verbreitung von Covid-19-Bedrohungen in der ersten Hälfte 2020

Ransomware-Betreiber konzentrieren sich auf ausgewählte Ziele

Ransomware hat sich von seinen opportunistischen Wurzeln, zu denen nicht personalisierte Spam-Kampagnen gehörten, zu einem gezielteren Ansatz entwickelt, bei dem oft der Diebstahl von Credentials und andere komplexe Techniken eingesetzt werden, um das Zielsystem zu kompromittieren. Die Hauptopfer dabei sind Organisationen, die viel zu verlieren haben und in der Lage sind, hohe Lösegeldforderungen zu erfüllen. Darüber hinaus stellten die Forscher auch einen wachsenden Trend fest, bei dem Betreiber von Ransomware ihren Opfern mit der Veröffentlichung ihrer Daten drohen, falls das Lösegeld nicht bezahlt wird.

Bild 2. Halbjahresvergleich der Anzahl der entdeckten Ransomware-bezogenen Komponenten (Dateien, Emails und URLs)

Schwachstellen sind weiterhin ein relevantes Problem

Mit der Verlagerung hin zur Remote-Arbeit ist das Patching wichtiger denn je. In der ersten Jahreshälfte wurde eine grosse Anzahl veröffentlichter und gepatchter Schwachstellen gemeldet, darunter mehrere kritische Fehler, die bereits in der Praxis ausgenutzt wurden. Für die Unternehmen könnte dies zu einer zusätzlichen Arbeitsbelastung ihres IT-Personals führen, das diese Updates implementieren und darüber hinaus sicherstellen muss, dass die IT-Infrastruktur des Unternehmens unter den neuen Arbeitsumgebungen so nahtlos wie möglich funktioniert.

Zwischen Ende 2019 und Anfang 2020 wurden zwei verschiedene Gruppen von Schwachstellen entdeckt, die Industrial Internet of Things (IIoT)-Geräte betreffen. Solche Sicherheitslücken könnten einen erheblich schädlichen Einfluss auf betroffene Branchen und Organisationen haben und zu möglichen zukünftigen Regelungen für das IIoT im Allgemeinen führen.

Bild 3. Halbjahresvergleich der Anzahl der Schwachstellen, die das ZDI-Programm veröffentlicht hat

Mehrschichtige Sicherheit als Verteidigung vor heutigen vielfältigen Bedrohungen

Die Herausforderungen im Bereich der Cybersicherheit, denen viele Organisationen in der ersten Hälfte des Jahres 2020 ausgesetzt waren, beweisen, dass eine mehrschichtige Lösung, die eine Mischung aus Fähigkeiten zur Bedrohungsabwehr bieten kann, am besten für eine umfassende Sicherheitsimplementierung geeignet ist, die sowohl in Büro- als auch in Privatumgebungen funktioniert.

Weitere Einzelheiten liefert der Report:

Russische Gruppe führt mehr als 200 BEC-Kampagnen

Eine russische Gruppe namens Cosmic Lynx hat mehr als 200 Business Email Compromise (BEC)-Kampagnen gegen hunderte multinationaler Unternehmen geführt, so das Sicherheitsunternehmen Agari. Die Kampagnen gab es seit 2019 in 40 Ländern, und die Kriminellen verlangten von ihren Opfern insgesamt 1,27 Millionen Dollar.

Wie viele andere Gruppen zielte auch Cosmic Lynx auf gehobene Führungskräfte in Positionen wie Geschäftsführer (28%), Vizepräsident (24%), General Manager (23%), CEO (8%), Finanzchef (7%), Präsident (7%) und andere (4%).

Um diese Ziele zu täuschen, bedienen sich die Cyberkriminellen einer zweifachen Identitätstäuschung: Zuerst geben sie sich als der CEO des Unternehmens aus, dann als legitimer Anwalt einer in Großbritannien ansässigen Anwaltskanzlei. Zuerst schicken die Angreifer, die sich als CEO des Unternehmens ausgeben, eine Email an einen Mitarbeiter, in der sie auf die Notwendigkeit eines „externen Rechtsbeistands“ hinweisen. In der Email heisst es, dass es sich um eine zeitkritische Angelegenheit handele, um ein Gefühl der Dringlichkeit zu erzeugen. Antwortet der Mitarbeiter, wird er aufgefordert, sich per Mail mit einem angeblichen Anwalt auszutauschen und soll dann Geld an Konten überweisen, die vorgeblich mit der Anwaltskanzlei in Verbindung stehen, in Wirklichkeit aber von der Gruppe kontrollierte Scheinkonten sind. Die geforderten Summen belaufen sich auf 1,27 Millionen von US-Dollar.

Bei den meisten Angriffen werden kostenlose Mail-Konten und Domänen verwendet, die eine sichere Mail- und Netzwerkinfrastruktur nachahmen (z.B. Secure-Mail-Gateway, verschlüsselter SMTP-Transport, MX-Secure-Net). Die Gruppe registrierte auch einige ihrer Domänen bei einem Bulletproof Hosting- und einem anonymen Domänen-Provider.

Neben BEC wurde die Gruppe auch mit anderen bösartigen Aktivitäten wie die Verbreitung von Emotet, Trickbot und Click-Fraud-Malware in Verbindung gebracht. Sie sollen auch hinter einem Carding-Marktplatz und gefälschten Dokumenten-Websites stecken.

Die Verluste durch BEC betrugen 2019 1,7 Milliarden Dollar, berichtet das FBI.

Kampf gegen BEC

Die von Trend Micro™ Cloud App Security entdeckten BEC-Versuche stiegen von mehr als 100.000 in 2018 auf fast 400.000 in 2019, ein Mehr von 271%. Diese Spitzenwerte sind beachtlich, wenn man bedenkt, dass viele BEC-Kampagnen keine innovativen Taktiken anwenden müssen, um erfolgreich zu sein. Die Nachahmung von Schlüsselfiguren im Unternehmen, die Andeutung von Dringlichkeit und die Nutzung aktueller Ereignisse als Lockmittel (wie die Coronavirus-Pandemie) sind nur einige der bewährten Strategien, die von Cyberkriminellen eingesetzt werden, um ahnungslose Mitarbeiter zu täuschen. Durch die ständige Entwicklung neuer Techniken durch Cyberkriminelle, wie die Verwendung von Deepfakes, neuen Kanälen und verschiedenen Dateiformaten für Anhänge, wandelt sich BEC weiterhin zu einer noch ernsteren Bedrohung.

Um das Risiko finanzieller Verluste durch BEC-Betrug zu vermeiden, sollten Unternehmen ihre Mitarbeiter mit folgenden Best Practices vertraut machen:

  • Verifizieren von Anfragen für Geldüberweisungen durch Bestätigung der Richtigkeit des Absenders mit anderen Mitteln als Mail. Festlegen eines zweiten Freigabeprozesses ist auch empfehlenswert.
  • Untersuchen von Mails, um gefälschte Adressen zu erkennen. Einige Kampagnen verwenden Emails, die den echten Adressen bis auf einen geringfügigen Unterschied in einigen wenigen Zeichen sehr ähnlich sind.
  • Wissen über die jeweils neuesten Mail-Betrügereien hilft dabei, diese schneller zu erkennen.

Unterstützung beim Blockieren von BEC-Bedrohungen liefern auch Sicherheitslösungen, die auf künstliche Intelligenz und Machine Learning setzen.

  • Trend Micro Cloud App Security kann Microsoft Office 365- und andere Cloud-Services über Sandbox Malware-Analysen für BEC und andere fortgeschrittene Bedrohungen schützen.
  • Trend Micro™ Email Security analysiert Email Header und Inhalte mithilfe von fortschrittlichem maschinellem Lernen und ausgeklügelten Regeln, um BEC und andere Bedrohungen zu erkennen und zu stoppen.

Massive Credential Phishing-Angriffe auf Home User

Der Wert eines Passworts liegt darin, einem User Zugang zu wichtigen Informationen und jeder Menge IT Diensten zu eröffnen. Jeder weiss das und natürlich auch Cyberkriminelle. Somit ist es wenig verwunderlich, dass der Diebstahl von Login-Daten, also „Credentials“, eines der Hauptthemen ist, mit denen sich die Akteure beschäftigen. Jetzt aber, wo die Zahl derer, die im Home Office arbeiten, sprunghaft gestiegen ist, haben die „Credential Phisher“ Hochkonjunktur. Nutzer können sich am besten dagegen wehren, wenn sie verstehen, wie ein solcher Angriff abläuft.

Bild 1. Top 10 Länder, in denen User mit Credential Phishing Angriffen mit Bezug auf Outlook oder Office 365 angegriffen wurden (Quelle Trend Micro)

Vorgehensweise

Der Erfolg eines Credential Phishing-Angriffs steht und fällt mit der Fertigkeit des Angreifers, sein Opfer davon zu überzeugen, ihm sein Passwort freiwillig zu übergeben, und – das ist wichtig – das Opfer darf nicht misstrauisch werden. Denn ein Passwort ist im Zweifel binnen Sekunden geändert. Ein Täter benötigt etwas, eine Seite oder ein Formular, wo User Passwörter eingeben können und ein Mittel, das keinen Argwohn weckt, wenn dies nicht sofort klappt.

Ein beliebtes Ziel sind deshalb vor allem Mail-Clients. Während der Mitarbeiter im Büro einfach nur Outlook öffnet, greift er speziell im Home Office auch mit Vorliebe auf die Webvarianten über den Browser zu und muss sich, um auf seinen Account zu kommen, entsprechend authentifizieren. Damit aber ist die erste Notwendigkeit erfüllt. Der Angreifer muss seinem Opfer lediglich eine Fake Web Client-Seite vorgeben – eine klassische Phishing Aufgabe.

Bild 2. Fake Microsoft Login-Seite

Die Sache hat allerdings einen Haken: Die „klassische“ Angriffs-Mail erhält ein Opfer nur bei aktivem Mail Client. Wie erreicht ein Angreifer also sein Opfer, denn niemand würde den wichtigen Link anklicken, um dann erneut seinen Mail Client aufzumachen …

Hier bedient sich der Angreifer eines „Workarounds“. Die Mail bewirbt offiziell die neueste und/oder interessanteste Nachricht eines News-Dienstes. Klickt der User den Link an, wird er auf genau diese Seite weitergeleitet und erhält dort auch die erwartete Information. Gleichzeitig wird allerdings eine zweite Seite geöffnet, die eigentliche Phishing-Seite mit einem Mail Client-Login und dem Hinweis, dass die aktuelle/letzte Session abgelaufen ist. Geht das Opfer nach einer Weile – die Nachricht zu lesen hat vermutlich Zeit gekostet – auf seinen Mail Client und gibt sein Passwort erneut ein, so erscheint die Nachricht, dass entweder Username oder Passwort falsch waren. Es erfolgt eine Umleitung zurück auf die Original Web Client-Seite. Nach erneuter Eingabe des Passworts erhält er auch seinen gewohnten Zugriff auf seine Mails. Die Episode ist bald vergessen. Timeouts von Webseiten sind jedem vertraut und jeder hat sich schon einmal bei der Passworteingabe vertippt.

Aktualität

Das genannte Beispiel gibt es in zahlreichen Facetten. Natürlich ist Office365 dabei aber auch andere Applikationen speziell Online Meeting Plattformen wie Zoom oder Webex stehen im Fokus. Die Methode selbst wurde ursprünglich von der politisch motivierten Gruppe Pawnstorm (APT28, Fancy Bear) genutzt, um Angriffe auf höchste politische Kreise zu launchen. So steht Pawnstorm für die Angriffe auf die Demokratische Partei (2016), den Bundestag (2015/17) sowie eine Reihe weiterer politischer Angriffe.

Gamaredon APT-Guppe setzt auf Covid-19 als Köder

Originalbeitrag von Hiroyuki Kakara and Erina Maruyama

Die Advanced Persistent Threat (APT)-Gruppe Gamaredon ist seit 2013 aktiv und war bislang generell für Angriffe auf ukrainische Regierungsinstitutionen bekannt. Doch kürzlich fanden die Sicherheitsforscher von Trend Micro Mails mit einem Anhang, der die Taktik von Gamaredon nutzte, dabei das Thema Coronavirus als Köder einsetzte, um die Opfer dazu zu verleiten, den Anhang zu öffnen. Die Kampagnen hatten europäische und andere Nutzer zum Ziel.

Bild. Infektionsablauf in der Gamaredon-Kampagne

Im Fall der von Trend Micro entdeckten Mail, startet beim Öffnen des Dokuments im Anhang der Download eines Templates für ein Dokument, das den bösartigen Makro-Code enthält, der wiederum ein VBScript (VBS) ausführt. Zudem gab es einen Mechanismus zum Entschlüsseln, Ausführen und Herunterladen einer zusätzlichen Payload vom C&C-Server. Der C&C-Server war jedoch nicht zugänglich, so dass die Forscher keine zusätzlichen Payloads erhalten konnten.

Alle Angriffe wurden über gezielte Emails durchgeführt (MITRE ATT&CK Framework ID T1193), wobei einer gar den Betreff „Coronavirus (2019-nCoV)“ hatte. Technische Einzelheiten zu den Angriffen umfasst der Originalbeitrag.

Fazit

Gamaredon ist nur eine von vielen Gruppen, die in ihren Angriffen auf COVID-19 als Köder zurückgreift. Informieren Sie sich über weitere Kampagnen, die die Pandemie missbrauchen.

Nutzer können sich vor ähnlichen APT-Angriffen mit folgenden Best Practices schützen:

  • Überprüfen des Mail-Absenders, -Betreffs sowie der Nachricht auf verdächtige Anzeichen, bevor ein Anhang geöffnet oder heruntergeladen wird. Besondere Sorgfalt ist bei Mails geboten, die nicht angefordert wurden und/oder unbekannte Absender haben.
  • Prüfen der Datei-Extension im Anhang, um sicherzugehen, dass es das gewollte Format ist.
  • Keine Makros für Office-Dateien aktivieren. Dies gilt vor allem für Emails, die das fordern.
  • Vorsicht vor gefälschten Domänen, die in E-Mails eingebettet sind. Leichte Änderungen an einer gängigen URL können ein Indikator für bösartige Inhalte sein.

Zusätzlich können Unternehmen einen mehrschichtigen Sicherheitsansatz wählen:

  • Trend Micro Smart Protection Suites und Worry-Free™ Business Security kann vor ähnlichen Bedrohungen schützen, weil die Lösungen bösartige Dateien und Spam-Nachrichten erkennen und alle damit zusammenhängenden bösartigen URLs blockieren. Trend Micro Deep Discovery Email Inspector™ kann bösartige Anhänge und URLs erkennen.
  • Trend Micro Hosted Email Security ist eine wartungsfreie cloudbasierte Lösung, die permanent aktuellen Schutz bietet und Spam, Malware, Spear-Phishing und komplexe, zielgerichtete Angriffe stoppt, bevor sie das Unternehmensnetzwerk erreichen. Hosted Email Security schützt Microsoft Exchange, Microsoft Office 365, Google Apps sowie viele weitere gehostete und lokale Email-Lösungen. Email-Verschlüsselung ist in der Basisversion bereits enthalten.
  • Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.
  • Trend MicroTMXDR unterstützt den Schutz von vernetzten Emails, Endpunkten, Servern, cloudbasierten Workloads und Netzwerken. Leistungsfähige KI und Sicherheitsanalysen von Experten korrelieren Daten aus Kundenumgebungen mit den globalen Bedrohungsinformationen von Trend Micro. Daraus entstehen weniger und präzisere Warnungen.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Aktualisierung: Coronavirus in bösartigen Kampagnen

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neue Kampagnen mit Ransomware, betrügerischen Apps sowie Websites mit Fake-Versprechungen.

Update 26. März

Apps

In einer neuen Kampagne verbreiten Cyberkriminelle eine „Informations-App“ zu COVID-19, die angeblich von der Weltgesundheitsorganisation (WHO) stammt. Bleeping Computer berichtet, dass im Rahmen des Angriffs die Domain Name System (DNS)-Einstellungen in D-Link- oder Linksys-Routern gehackt werden, um Browser Alerts von besagter App darstellen zu lassen. Nutzer berichteten, dass sich ihre Browser ohne Interaktion automatisch öffneten und sie in einer Nachricht aufforderten, einen Button anzuklicken, um eine „COVID-19 Inform App“ herunterzuladen. Stattdessen wird der Oski Info Stealer auf das Gerät geladen. Diese Schädlingsvariante kann Browser Cookies, den Verlauf, Bezahlinformationen, gespeicherte Anmeldedaten, Kryptowährungs-Wallets und andere Daten stehlen.

Netwalker Ransomware

Eine neue Phishing-Kampagne verbreitet laut MalwareHunterTeam die Netwalker Ransomware, schreibt Bleeping Computer. Ein Anhang namens CORONAVIRUS.COVID-19.vbs enthält ein eingebettetes Ransomware Executable. Von den Opfern wird ein Lösegeld verlangt, das über eine Tor-Bezahlseite zu entrichten ist.

Sextortion-Betrug

Über eine neue Sextortion-Masche berichtet Sophos. Die Opfer werden per Email darüber informiert, dass der Angreifer alle Passwörter kennt und weitere Details zu dessen persönlichen Aktivitäten. Sollte sich der Betroffene weigern, die verlangten 4.000 $ in Bitcoin innerhalb von 24 Stunden zu zahlen, drohen die Cyberkriminellen, die Familie des Betroffenen mit dem Coronavirus zu infizieren. Es gibt keine Hinweise, ob der Angreifer tatsächlich Zugang zu den Daten hat.

Betrügerische Websites

Sicherheitsforscher fanden zwei Websites, (antivirus-covid19[.]site und corona-antivirus[.]com), die eine App anbieten, die angeblich vor Corona schützen kann. Erstere ist bereits nicht mehr zugänglich, die zweite schon. Die App „Corona Antivirus“ auf den Websites soll das Ergebnis der Forschung von Wissenschaftlern der Harvard Universität sein. Wer die App installiert, infiziert das eigene System mit BlackNET RAT Malware, die dann das System einem Botnet hinzufügt. Über das Botnet können die Hintermänner DDoS-Angriffe starten, Dateien auf das Gerät laden, Skripts ausführen, Screenshots erstellen, Tastaturanschläge aufnehmen, Bitcoin-Wallets stehlen und Browser Cookies sowie Passwörter sammeln.

Schließlich hat Das US-Justizministerium (DOJ) eine einstweilige Verfügung gegen die betrügerische Website coronavirusmedicalkit[.]com eingereicht. Die Website verkauft angeblich von der WHO zugelassene COVID-19-Impfstoffkits. Es sind jedoch noch keine solchen legitimen Coronavirus-Impfstoffe auf dem Markt erhältlich. Die Website verlangt 4,95 $ für die Lieferung. Dafür sollen Nutzer ihre Kreditkartendaten angeben. Die Website ist ebenfalls nicht mehr erreichbar.

Update 20. März:

Italien, eines der vom Virus am schlimmsten betroffenen Länder, wird auch von den Cyberkriminellen nicht verschont. Innerhalb der EMEA-Region steht das Land mit 11.000 Spam- und Malware-Vorfällen auf Platz drei. Die Sicherheitsforscher von Trend Micro entdeckten mehr als 6.000 Spam-Vorfälle in einer neuen Kampagne. Sowohl der Betreff („wichtige Infos zur Coronavirus-Vorsorge“) als auch die Nachricht selbst sind auf Italienisch verfasst. Der Absender verspricht ein Dokument im Anhang, das angeblich von der World Health Organization (WHO) kommt und heruntergeladen werden soll. Das bösartige Dokument enthält einen Trojaner. Die Indicators of Compromise beinhaltet der Originalbeitrag.

Update 16. März

Trend Micro entdeckte eine Email Spam-Kampagne, die chinesische und italienische Anwender zum Ziel hat. Die Erwähnung von Coronavirus im Betreff der chinesischen Variante soll potenzielle Opfer dazu bringen, einen bösartigen Anhang herunterzuladen. Weitere Untersuchungen ergaben, dass die genutzte Payload HawkEye Reborn ist, eine neuere Variante des Information Stealers HawkEye. Die Datei ist ein stark verschleiertes AutoIT-Skript, das zu einer ausführbaren Datei kompiliert wurde.

Im Fall des italienischen Spams wurde der Name der Infektion nicht im Betreff erwähnt sondern befand sich in der URL. Der Betreff bezog sich auf Rechnungen, und der Anhang enthielt Malware, die über die Ausführung eines PowerShell-Befehls eine Datei von einer COVID-19 bezogenen URL herunterlud.

Business Email Compromise (BEC)

Ein Business Email Compromise (BEC)-Angriff, der Coronavirus erwähnt, wurde von Agari Cyber Intelligence Division (ACID) gemeldet. Dahinter steckte Ancient Tortoise, eine cyberkriminelle Gruppe, die bereits von früheren BEC-Vorfällen bekannt ist. Sie kontaktieren zuerst die Buchhaltung eines Unternehmens und fordern eine Liste mit ausstehenden Zahlungen an, um dann die entsprechenden Kunden anzugehen und diese über Änderungen bei Bankverbindung und Zahlungsmethode aufgrund der Coronakrise zu „informieren“.

Malware

Eine interaktive Coronavirus-Karte wurde eingesetzt, um einen Information Stealer zu verbreiten, berichtete Brian Krebs. Die Karte, die die Johns Hopkins Universität erstellt hatte, ist ein interaktives Dashboard, das die Verbreitung des Coronavirus und die davon verursachten Todesfälle in der Welt anzeigt. Dies nutzten russische Mitglieder von Untergrundforen aus, um digitale Corona-Infektions-Kits zu verkaufen, die eine Java-basierte Malware installieren.

Ransomware

Eine neue Ransomware-Variante namens CoronaVirus wurde über eine gefälschte Wise Cleaner-Site verbreitet, die vorgeblich Systemoptimierung anbot, so das MalwareHunterTeam. Opfer luden dabei unwissentlich die Datei WSGSetup.exe von der Site herunter. Besagte Datei dient als Downloader für zwei Arten von Malware: die CoronaVirus Ransomware und ein Trojaner namens Kpot, der Passwörter stiehlt. Diese Kampagne folgt dem Trend, nicht allein Daten zu verschlüsseln, sondern auch Informationen zu stehlen.

Eine mobile Ransomware namens CovidLock kommt über eine bösartige Android App, die vorgeblich dabei hilft, COVID-19-Infizierte auszumachen. Die Ransomware sperrt die Smartphones ihrer Opfer und verlangt innerhalb von 48 Stunden ein Lösegeld von 100 $ in Bitcoin. Die Hintermänner drohen auch mit dem Löschen der Daten auf dem Telefon und der Veröffentlichung von Social-Media-Kontoinformationen.

Coronavirus-bezogene Angriffe in den verschiedenen Regionen der Welt

Trend Micro-Forscher haben die Coronavirus-bezogene Malware und die Spam-Angriffe im ersten Quartal 2020 (von Januar bis heute) auf Anwender weltweit analysiert und sie nach Regionen bewertet – Asia Pacific Region (APAC), Lateinamerika (LAR), Nordamerika (NABU) und Europa, Mittlerer Osten & Afrika Region (EMEA).

Die Daten stammen aus dem Smart Protection Network und wurden auf Basis heuristischer Muster zusammengestellt. Die Anzahl des Spam entspricht den Spam-Mails mit dem Wort „coronavirus” im Betreff. Die Zählung der Malware besteht hauptsächlich aus den mitgelieferten Malware-Dateien.

Bild 1. Weltweite Coronavirus-bezogene Malware- und Spam-Angriffe in Q1 2020

Die Grafik zeigt, dass bei den Anwendern in der EMEA-Region mit etwa 130.000 jeweils für Malware und Spam die meisten Angriffe zu verzeichnen waren. Es zeigt sich, dass in der EMEA-Region auf die Anwender in Großbritannien etwa ein Drittel aller Malware- und Spam-Angriffe (jeweils 41.000) der Region entfielen, gefolgt von Frankreich mit fast 24.000 Malware- und ca. 23.000 Spam-Angriffen.

Spam

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang, so auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 2. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Liefervorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferungsdatum enthalten. Im folgenden Beispiel etwa soll der Anhang Einzelheiten über ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 3. COVID-19 -bezogene Spam-Email mit dem Thema verspäteter Liefertermin

Andere Spam-Mails waren in Italienisch oder Portugiesisch verfasst.

Malware-Dateien

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Eine entsprechende Liste umfasst der Originalbeitrag.

Andere Sicherheitsforscher fanden Coronavirus-Landkarten und -Dashboards, die von Cyberkriminellen missbraucht werden. Forscher von Reason Labs fanden gefälschte Websites, die zum Herunterladen und Installieren von Malware führen. Eine Liste der heruntergeladenen Malware finden Sie im Originalbeitrag.

Domänen

Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Trickbot-Trojaner verbreitet sich als DLL und richtet sich auf Windows 10 aus

Originalbeitrag von Trend Micro

Verschiedenen Kampagnen machen deutlich, wie die Hintermänner des Banking-Trojaners Trickbot die Ausführungs- und Verschleierungstechniken des Schädlings weiterentwickelt haben. Zum einen kann der Trojaner jetzt als Dynamic Link Library (DLL)-Dateien verbreitet werden, zum anderen besitzt er derzeit Fähigkeiten, die exklusiv auf Windows 10 ausgerichtet sind.

Trickbot via DLL verbreiten

Statt wie bislang üblich eine EXE.-Datei als Loader zu nutzen, verwendet die neue Trickbot-Variante DLL-Dateien. Der Schädling wird von einem Word-Dokument abgelegt, das vermutlich über bösartige Anhänge in Spam-Mails verbreitet wird. Technische Einzelheiten beinhaltet der Originalbeitrag.

Trickbot wurde im August 2016 entdeckt. Der Banking-Trojaner stiehlt Email-Zugangsdaten von infizierten Computern. Die kompromittierten Mail-Konten nutzt er dann für die Verbreitung von bösartigen Mails. Die Hintermänner des Schädlings haben diesen mit immer neuen Fähigkeiten ausgestattet, wie etwa zum Vermeiden von Erkennung und Bildschirmsperren, sowie für das Remote Abgreifen von Anwendungs-Credentials. Auch zielte Trickbot bereits früher auf OpenSSH und OpenVPN oder wurde über verborgene JavaScript-Dateien verbreitet.

Ausschließlich auf Windows 10 ausgerichtete Fähigkeiten

Zu den exklusiv auf Windows 10 zugeschnittenen Funktionen gehören solche, die eine Erkennung in Sandboxen, die frühere Windows-Versionen nachahmen, verhindern. Technische Einzelheiten liefert der Originalbeitrag.

Schutz vor Trickbot

Angesichts von mehr als 250 Mio. kompromittierten Email-Konten müssen Unternehmen und Anwender die permanente Weiterentwicklung dieses Schädlings im Auge behalten. Als Schutzmaßnahme gegen den Trojaner sollten Unternehmen interne Schulungen zu den Möglichkeiten der Minderung der Gefahr durch Email-Bedrohungen durchführen. Mitarbeiter müssen lernen, bösartige Email zu erkennen. Es muss ihnen klar werden, dass sie keine Anhänge herunterladen dürfen oder Links aus unbekannten Quellen anklicken.

Sicherheitslösungen wie Trend Micro Email Security erkennen und stoppen Spam, bevor er Schaden anrichten kann. Trend Micro Smart Protection Suites beruht XGen™ Security und kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Eine Auflistung der Indicators of Compromise finden Sie im Originalbeitrag.

Zusätzliche Analysen von Angelo Deveraturda

Coronavirus als Köder in Spam, Malware und bösartigen Domänen

Von Trend Micro

Wie nicht anders zu erwarten war, nutzen mittlerweile Angreifer die Thematik rund um das Coronavirus (COVID-19) als Köder in ihren Email Spam-Attacken. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, sowie auch die häufigere Verwendung der Wörter „coronavirus“ und „corona“ in Malware-Namen und bösartigen Domänen.

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang. So auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 1. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Versandvorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferdatum enthalten. Im folgenden Beispiel etwa soll vorgeblich der Anhang Einzelheiten für ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 2. COVID-19 -bezogene Spam-Email mit dem Thema Lieferverspätung

Andere Spam-Mails waren auf Italienisch oder Portugiesisch verfasst.

Malware-Dateien und Domänen

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste beider umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Trend Micros Endpoint-Lösungen wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.