Verschlüsselung & Datensicherheit

Achtung Phishing! Schadsoftware in Antwort-Mails versteckt

Es ist eine schwer erkennbare Phishing-Methode, mit der aktuell Malware verbreitet wird. Die kriminellen Angreifer hacken E-Mail-Konten und klinken sich dann in bestehende Konversationen ein. Betroffene müssen besonders aufmerksam sein, wenn sie Antwort-Mails erhalten.

Neue Phishing-Methode

Auf eine neue Phishing-Methode, die von der Sicherheitsfirma Trend Micro entdeckt wurde, machte golem.de aufmerksam. Sie basiert auf Antworten zu Mails, die von bestehenden Kontakten kommen und die möglicherweise bereits dringend erwartet werden. Dabei werden über gehackte Benutzerkonten werden E-Mails beantwortet und Schadsoftware gleich mit geliefert.

Wie weiter dazu verlautete lassen sich die E-Mails kaum als Phishing erkennen. Durch das Versenden der E-Mails von gehackten Konten stimmen Absender und Mailserver überein. Selbst der Return Path und Reply-To-Header werden nicht gefälscht. Absender und Betreff sind dem Empfänger bekannt, da die E-Mail eine laufende Konversation fortführt oder wieder aufgreift. Selbst die Daten aus der Signatur des Absenders werden übernommen, obgleich sie etwas anders dargestellt werden.

In seltenen Fällen kann der Text die Mail als Phishing enttarnen, beispielsweise, wenn der Inhalt nicht zum restlichen Kontext der Mailkonversation passt oder ein Wechsel der Sprache etwa von einem Mailaustausch in französischer Sprache hin zu Englisch stattfindet.

Schadsoftware verbirgt sich im Anhang

Die Antwort-Mails, die die Opfer erhalten lauten zum Beispiel:

"Good Morning, Please see attached, let me know if you have questions!"

(Guten Morgen, bitte beachten Sie den Anhang, lassen Sie mir ihre Fragen zukommen!)

Damit sollen die Opfer natürlich dazu gebracht werden, den Anhang zu öffnen. Die Bezeichnung der Datei enthält häufig den Firmennamen des Empfängers und Schlagwörter wie Abrechnung oder Anfrage. Ein Öffnen des Anhangs startet die Installation der Schadsoftware Ursnif. Die Schadsoftware Ursnif sammelt:

  • Systeminformationen
  • Zugangs- und Bankdaten der Betroffenen und leitet sie aus.

Darunter fallen die installierten Anwendungen:

  • Treiber
  • externe IP-Adresse
  • Zugangsdaten zu E-Mail-Konten
  • Cookies
  • Finanzdaten
  • Zertifkate und Videoaufnahmen des Bildschirminhaltes

Befallene Systeme und Kampagnenziele

Die Malware befällt Systeme, die mit Windows Vista oder aktueller betrieben werden. Betriebssysteme, deren Sprache Chinesisch oder Russisch ist, werden jedoch nicht angegriffen.

Die Phishing-Kampagne zielt vor allem auf den Bildungs-, Finanz- und Energiesektor in Nordamerika und Europa. Die Angriffe betreffen aber auch andere Branchen und den asiatischen und lateinamerikanischen Raum.

Zurück

Diesen Beitrag teilen
oben