Sicher & Anonym

E-Mail-basierte Angriffskampagne auch in Deutschland entdeckt

Shathak zielt nicht mehr nur auf englischsprachige Opfer ab – Die Malware wütet länderübergreifend

Palo Alto Networks, hat die jüngsten Aktivitäten von TA551 untersucht, bei denen nun auch deutsch-, italienisch- und japanisch-sprachige Opfer ins Visier geraten. TA551, auch bekannt als Shathak, ist eine E-Mail-basierte Malware-Angriffskampagne, die bislang auf englischsprachige Opfer abzielte.

Der anfängliche Köder ist eine E-Mail, die eine E-Mail-Kette vortäuscht. Diese E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. Die Nachricht enthält ein angehängtes ZIP-Archiv und eine Nachricht, die den Benutzer über ein Kennwort informiert, das zum Öffnen des Anhangs erforderlich ist. Nach dem Öffnen des ZIP-Archivs findet das Opfer ein Microsoft Word-Dokument mit Makros vor. Wenn das Opfer Makros auf einem anfälligen Windows-Computer aktiviert, ruft der Host des Opfers eine Installer-DLL für IcedID-Malware ab. Dadurch wird ein anfälliger Windows-Computer infiziert.

Verbesserte Angriffsmethoden seit dem letzten Vorfall

TA551 hat sich weiterentwickelt, seitdem Palo Alto Networks die Angreifer zuletzt im Juli 2020 beobachtet hatte. TA551 hatte in der Vergangenheit verschiedene Familien von datenraubender Malware verbreitet. In den vergangenen Monaten registrierten IT-Sicherheitsprofis häufig IcedID als Folge-Malware von Valak- und Ursnif-Infektionen, die auf das Konto von TA551 gingen. Die Angreifer scheinen sich von den früher genutzten Malware-Downloadern verabschiedet zu haben und setzen nun direkt den Information Stealer IcedID ein.

Obwohl TA551 sich auf IcedID als Malware-Nutzlast festgelegt hat, beobachtet Palo Alto Networks weiterhin Veränderungen bei den Verkehrsmustern und Infektionsartefakten. Unternehmen mit angemessener Spam-Filterung, ordnungsgemäßer Systemadministration und aktuellen Windows-Hosts weisen ein wesentlich geringeres Infektionsrisiko auf.

 

Weitere Informationen zu den Erkenntnissen über die Malware-Kampagne hat Palo Alto Networks auf seiner Website gebündelt. 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben