Vermehrte Angriffe über das Kontaktformular
Microsoft warnt vor Banking-Trojaner-Angriffen über die Kontaktformulare von Website-Betreibern. So soll die Malware IcedID auch in Deutschland und Europa verbreitet werden.
Dabei werden bei umfangreichen und gezielten Kampagnen manipulierte Anfragen an Unternehmen gesendet. Die Anfrage über das Kontaktformular der Business-Website beinhaltet Vorwürfe über unrechtmäßig genutztes Bildmaterial auf der entsprechenden Homepage. Die vermeintlichen Beweise sollen bei Google Sites im hinterlegten Dokument erkennbar sein. Außerdem werden rechtliche Konsequenzen angedroht, dies erzeugt zusätzlichen Druck beim Empfänger.
Der Empfänger wird aufgefordert, auf einen Link in der E-Mail zu klicken, um so schließlich den IcedID-Banking-Trojaner einzufangen. Die von Microsoft beschriebenen Aktivitäten richten sich an Webseiten-Betreiber von Unternehmen, die über ein G-Mail Konto verfügen. Die Adressen können aus einem vorhergegangenen Datenleck bekannt sein, aber auch öffentlich einsehbare Adressen werden hierfür genutzt. Wurde eine E-Mail-Adresse ausfindig gemacht, kommt eine zweifache Verschleierung zum Einsatz:
Zum einen wird durch den Umweg über das Kontaktformular der Eindruck einer seriösen Anfrage vermittelt. Damit sollen Spamfilter irregeführt und Vertrauen beim Empfänger erzeugt werden. Die entsprechende Anfrage enthält einen Link zu Google Sites, wo ein Schadcode oder eine Weiterleitung dahin hinterlegt ist. Die Google-Sites-Seite wurde dabei so konfiguriert, dass diese nur unter Eingabe von Zugangsdaten eines realen Accounts geöffnet werden kann. Diese weitere Authentifizierung über eine reale Plattform lenkt zusätzlich von dem Betrug ab. Der hinterlegte Trojaner befindet sich in einer versteckten ZIP-Datei und erst beim Ausführen wird IcedID geladen.
Laut Microsoft wird zusätzlich eine Komponente des Penetration-Testing-Tools Cobalt Strike installiert, welche an sich legitim ist. Mit dieser Komponente können die Hacker das befallene System fernsteuern und sich weiter im angeschlossenen Netzwerk verbreiten. Sobald die Systeme infiziert sind, können Bankdaten und andere Informationen erbeutet werden.
Nach Einschätzung von Microsoft und der SYSback-Sicherheits-Experten wird es auch künftig solche großflächigen Kampagnen geben, die mit immer neuen Tricks und Methoden versuchen, Schadware via Email zu verbreiten und sensible Daten von Unternehmen zu erbeuten. Daher wird es immer bedeutender, professionelle Maßnahmen zum Schutz der Unternehmens-IT zu ergreifen und Mitarbeiter zu diesem wichtigen Thema zu sensibilisieren. Aber Maleware und Awareness sind aber nur ein Baustein von vielen im großen Thema IT Security.
Erfahren Sie, wie wir Sie mit dem ganzheitlichen Ansatz unserer Managed Security Unit im Detail und im großen Ganzen unterstützen können: