Cisco hat gezielt Pishing – Angriffe untersucht, berichtete kürzlich zdnet.de. Dabei war der Focus auf besonders einträgliche Branchen gerichtet, zu denen beispielsweise Banken, die Ölindustrie, TV-Sender und der Schmuckhandel zählen.
In seinem Sicherheitsblog Cisco Threat Spotlight berichtet es über die aufgedeckten Methoden und Ziele. Die Angriffe kombinierten extrem gezieltes Phishing (Spearphishing) mit Exploit-Versuchen, die von gängigen Antiviren-Lösungen meist nicht erkannt worden seien. Die Phishing-Mails waren eigens für den jeweiligen Empfänger geschrieben und gaben vor, im Anhang eine Rechnung, eine Bestellung oder eine Quittung im Microsoft-Word-Format zu enthalten. Die unbekannten Angreifer versuchten, ein Feature in der Skriptsprache Visual Basic for Applications (VBA) zu nutzen, mit der sich Abläufe in Microsoft Office steuern lassen. Wenn das angepeilte Opfer das Word-Dokument öffnete, konnte das zum Download einer ausführbaren Datei und ihrem Start auf seinem Rechner führen. Die Malware stand unter anderem beim Onlinespeicherdienst Dropbox zum Download bereit. Die Kommando- und Kontrollserver verbargen sich offenbar hinter den Domains Londonpaerl.co.uk und Selombiznet.in. Dabei fiel auf, dass Londonpaerl.co.uk eigentlich eine Tippfehler-Domain ist und dazu gedacht, versehentliche Besucher von Londonpearl.co.uk anzulocken, einem internationalen Vertrieb von Zuchtperlen und daraus gefertigtem Schmuck. Die Website mit der ähnlich geschriebenen Domain gibt sich jedoch als Arbeitsvermittlung aus und betreibt ihre undurchsichtigen Geschäfte seit mindestens 2007. Wie Cisco berichtet, konnte es allein am 25. Juni fünf von Londonpaerl.co.uk ausgehende Backdoor-Komponenten blockieren. Diese Angriffe hätten sich innerhalb von 90 Minuten gegen einen einzigen Kunden von Ciscos Sicherheitssparte gerichtet, einen industriellen Herstellungsbetrieb.
