Neue Phishing-Methode
Auf eine neue Phishing-Methode, die von der Sicherheitsfirma Trend Micro entdeckt wurde, machte golem.de aufmerksam. Sie basiert auf Antworten zu Mails, die von bestehenden Kontakten kommen und die möglicherweise bereits dringend erwartet werden. Dabei werden über gehackte Benutzerkonten werden E-Mails beantwortet und Schadsoftware gleich mit geliefert.
Wie weiter dazu verlautete lassen sich die E-Mails kaum als Phishing erkennen. Durch das Versenden der E-Mails von gehackten Konten stimmen Absender und Mailserver überein. Selbst der Return Path und Reply-To-Header werden nicht gefälscht. Absender und Betreff sind dem Empfänger bekannt, da die E-Mail eine laufende Konversation fortführt oder wieder aufgreift. Selbst die Daten aus der Signatur des Absenders werden übernommen, obgleich sie etwas anders dargestellt werden.
In seltenen Fällen kann der Text die Mail als Phishing enttarnen, beispielsweise, wenn der Inhalt nicht zum restlichen Kontext der Mailkonversation passt oder ein Wechsel der Sprache etwa von einem Mailaustausch in französischer Sprache hin zu Englisch stattfindet.
Schadsoftware verbirgt sich im Anhang
Die Antwort-Mails, die die Opfer erhalten lauten zum Beispiel:
"Good Morning, Please see attached, let me know if you have questions!"
(Guten Morgen, bitte beachten Sie den Anhang, lassen Sie mir ihre Fragen zukommen!)
Damit sollen die Opfer natürlich dazu gebracht werden, den Anhang zu öffnen. Die Bezeichnung der Datei enthält häufig den Firmennamen des Empfängers und Schlagwörter wie Abrechnung oder Anfrage. Ein Öffnen des Anhangs startet die Installation der Schadsoftware Ursnif. Die Schadsoftware Ursnif sammelt:
- Systeminformationen
- Zugangs- und Bankdaten der Betroffenen und leitet sie aus.
Darunter fallen die installierten Anwendungen:
- Treiber
- externe IP-Adresse
- Zugangsdaten zu E-Mail-Konten
- Cookies
- Finanzdaten
- Zertifkate und Videoaufnahmen des Bildschirminhaltes
Befallene Systeme und Kampagnenziele
Die Malware befällt Systeme, die mit Windows Vista oder aktueller betrieben werden. Betriebssysteme, deren Sprache Chinesisch oder Russisch ist, werden jedoch nicht angegriffen.
Die Phishing-Kampagne zielt vor allem auf den Bildungs-, Finanz- und Energiesektor in Nordamerika und Europa. Die Angriffe betreffen aber auch andere Branchen und den asiatischen und lateinamerikanischen Raum.
Weiterführende Links:
blog.trendmicro.com: Phishing Campaign uses Hijacked Emails to Deliver URSNIF by Replying to Ongoing Threads
golem.de: Schadsoftware versteckt sich in E-Mails von Freunden