Lesezeit: 4 Minuten

Cyberkriminelle lieben Feste wie Thanksgiving – aber nicht aus dem gleichen Grund wie aufrechte Menschen. Für die Täter ist es die Lieblingszeit zum Angriff. Wieso den? Denn an solchen Tagen sind die Menschen auf angenehme und gute Gedanken und Gefühle eingestellt. Leider macht es sie anfälliger. Wenn sie einen Grußbrief in den Posteingängen sehen, verspüren sie Dankbarkeit und Neugier – wer hat ihn verschickt? – und klicken auf die angehängte Datei, ohne an mögliche Gefahren zu denken.

Am Vorabend dieses Thanksgiving-Tages haben die Spezialisten von Comodo einen gerissenen Angriff abgefangen, der darauf abzielte, eine der derzeit schändlichsten Malware zu verbreiten – den Emotet-Trojaner, der normalerweise zum Stehlen von Bankdaten und anderen privaten Informationen verwendet wird.

Normalerweise verbreitet sich diese Malware hauptsächlich als finanzbezogene E-Mail wie eine Nachricht von einer Bank. Hier ist ein Beispiel für solche E-Mails, die von Comodo-Einrichtungen abgefangen wurden.

Wie Sie sehen, haben die Angreifer gut vorbereitete Fälschungen verwendet, die sogar sicherheitsbewusste Benutzer täuschen können. Der Link in der E-Mail führt zu „rozdroza.com/En_us/Clients_Messages/11_18“ URL. Wenn ein Benutzer auf den Link klickt, wird die vergiftete Microsoft Office-Dokumentdatei automatisch auf seinem Computer abgelegt.

Doch am Vorabend des Thanksgiving-Tages beschlossen die Täter, etwas Besonderes zu machen und die infizierte Datei als Grußkarte zu tarnen. Unten sind die Beispiele der Phishing-E-Mails sie in dem neuen Angriff verwenden.

Wie Sie sehen, sind auch diese E-Mails sorgfältig ausgearbeitet, um plausibel auszusehen. Sie haben unterschiedliche Inhalte, aber in jedem Fall sollen sie angenehme und warme Emotionen bei den Opfern wecken. Sei es ein herzlicher Gruß, die Bewunderung eines Kollegen oder gar ein Gedicht, es weckt bei den Opfern gute Laune und schwächt so ihre Wachsamkeit.

Die Zitate großer Persönlichkeiten am Ende der Nachrichten wurden auch verwendet, um Vertrauen bei den Opfern zu wecken und die Chancen zu erhöhen, dass sie das Dokument öffnen – und den Feind ins Haus lassen. In Wirklichkeit ist die „Grußkarte“ ein mit Emotet infiziertes Word-Dokument.

Schauen wir uns die gesamte Tötungskette dieser gerissenen Malware an.

Die infizierte Datei hat ein eingebettetes Makroskript. Wenn ein Benutzer eine „Grußkarte“ öffnet, lädt das Makro Emotet auf den Computer des Opfers herunter.  

Zuerst wird der Benutzer angewiesen, die Ausführung von Makroinhalten zu aktivieren, da das Dokument einen VBA-Stream enthält, der zum Herunterladen und Ausführen der Malware entwickelt wurde.

Wenn der Benutzer die Ausführung des aktiven Inhalts zulässt, wird der Code aufgerufen cmd.exe mit geänderten Parametern, die wieder aufrufen cmd.exe mit verschleierten Parametern, die schließlich ein Skript an . übergeben powershell.exe entwickelt, um Binärdateien aus dem Internet herunterzuladen und auszuführen.

Die verschleierten Parameter zum Starten von cmd.exe werden in einem Textfeld gespeichert, dessen Größe so angepasst wird, dass es für das Opfer nicht wahrnehmbar ist.

Danach untersucht das Skript fünf Speicherorte, um Emotet herunterzuladen: anora71.uz/aH3i9EM, egyptmotorours.com/EfRRkqPucD, friskyeliquid.com/xspcYyA63, m3produtora.com/QOlBVnrL40, litsey4.ru/V5XLXxDubY.

Dann lädt es die Malware auf die des Benutzers herunter Befristet Ordner und führt ihn aus. Emotet bewegt sich zu C:WindowsSysWOW64cachingplain.exe und erstellt einen Dienst, der während des Systemstarts ausgeführt wird.

Der neu erstellte Dienst verbindet sich mit dem C&C-Server, um die Verfügbarkeit zu benachrichtigen und Befehle zu empfangen.

Von diesem Moment an befindet sich der infizierte Computer unter vollständiger Kontrolle der Angreifer. Sie können die Zugangsdaten, Bankdaten und andere private Informationen der Benutzer vom PC extrahieren und den Angriff fortsetzen, indem sie andere Arten von Malware herunterladen.

„Der Angriff ist eine komplizierte, vergiftete Mischung aus raffinierter, gut getarnter Malware und psychologischen Manipulationstricks“, sagt Fatih Orhan, The Head of Comodo Threat Research Labs. „Es ist nicht nur aus technischer Sicht gefährlich und zerstörend, sondern vor allem zynisch und unmoralisch, weil man in einem großen Feiertag die hellen Gefühle der Menschen ausnutzt. Es ist immer schlimm, ausgeraubt zu werden, aber es ist noch viel schlimmer, in einem so schönen Urlaub ausgeraubt zu werden und sich bewusst zu machen, dass die Täter Ihre eigenen hellen Gefühle gegen Sie verwendet haben. Ich bin wirklich froh, dass wir unsere Kunden vor diesen schmerzhaften Folgen bewahrt haben und uns die Feier eines so großen Tages nicht von den Tätern verderben ließen.“

Die Heatmap und Details des Angriffs

Der Angriff begann am 19. November 2018 um 18:34:12 Uhr und dauerte zum Zeitpunkt der Erstellung dieses Artikels an. Es wurde von 26 IPs aus 10 Ländern durchgeführt. 108 Phishing-E-Mails werden derzeit entdeckt und angeblich wird der Angriff am Thanksgiving-Tag seinen Höhepunkt erreichen.

Die an dem Angriff beteiligten Länder und Anzahl der pro Land gesendeten E-Mails

Die Heatmap

Lebe sicher mit Comodo!

TESTEN SIE IHRE E-MAIL-SICHERHEIT ERHALTEN SIE IHRE SOFORTIGE SICHERHEITSKORECARD KOSTENLOS Quelle: https://blog.comodo.com/comodo-news/poisoned-gift-for-thanksgiving-day-a-new-disguise-to-break-in-to-your-bank-account/