Trojan Stealer in Spam-Mails an Unternehmen entdeckt

Cyberkriminelle verschicken detailgetreue Geschäfts-E-Mails mit Spyware-Trojaner im Anhang.

Eine neue bösartige Massen-Mail-Kampagne, die sich an Unternehmensmitarbeiter richtet und mit der Spyware Agent Tesla bestückte Anhänge verwendet, ist momentan im Umlauf. Dieses Mal achten die Angreifer bei der Erstellung ihrer E-Mail-Nachrichten besonders auf jegliche Details, weshalb auch Fake-Nachrichten für harmlose Geschäfts-E-Mails mit angehängten Dokumenten gehalten werden können. Das Ziel der Angreifer ist es, den Empfänger dazu zu bringen, das in der Nachricht angehängte Archiv zu öffnen, um dann die schädliche Datei auszuführen.

Was ist besonders an dieser Mailing-Kampagne?

Zum einen nutzen Cyberkriminelle echte Unternehmen als Tarnung, indem sie authentische Logos und legitime Signaturen in ihren E-Mails platzieren. Da ihr Englisch alles andere als perfekt ist, geben sie sich als Einwohner nicht englischsprachiger Länder (wie Bulgarien und Malaysia) aus, um keinen Verdacht zu erregen.

Die Angreifer verschicken bösartige Archive im Namen diverser Unternehmen und ändern den Inhalt ihrer Nachrichten dementsprechend. Manchmal fragen sie die Mitarbeiter des angepeilten Unternehmens nach dem Preis eines Artikels, der angeblich im beigefügten Archiv aufgeführt ist, ein anderes Mal fragen sie, ob das betreffende Produkt vorrätig ist. Wir gehen stark davon aus, dass es noch zahlreiche weitere E-Mail-Versionen gibt, mit denen die Kriminellen ihre Opfer ködern. Der Empfänger soll dazu gebracht werden, genauer zu überprüfen an welchen Produkten der Pseudokunde interessiert ist. Die Cyberkriminellen haben sich in der Vorbereitungsphase sehr viel Mühe gegeben, was für Massenmailing-Kampagnen eher ungewöhnlich ist. Bislang wurden solche Techniken nur bei zielgerichteten Angriffen eingesetzt.

Beispiel einer bösartigen E-Mail mit Agent Tesla im Anhang.

 

Aus Sicht des Empfängers ist das einzige alarmierende Anzeichen, das mit bloßem Auge sichtbar ist, die Adresse des Absenders. Denn der Domainname stimmt selten mit dem Firmennamen überein, und der Name des Absenders unterscheidet sich vom Namen in der Signatur, was für eine solide Geschäftsadresse ungewöhnlich ist. Im obigen Beispiel wird die E-Mail von der Adresse „newsletter@“ versandt, was vielleicht für ein Marketingschreiben geeignet ist, aber sicher nicht für die Bitte um einen Kostenvoranschlag.

Mehr über den Trojaner Agent Tesla

Agent Tesla, von unseren Lösungen als Trojan-PSW.MSIL.Agensla identifiziert, ist eine vergleichsweise alte Malware, die vertrauliche Informationen stiehlt und sie an die Angreifer weiterleitet. In erster Linie ist der Trojaner auf der Suche nach Anmeldeinformationen, die in verschiedenen Programmen gespeichert sind: Browser, E-Mail-Clients, FTP/SCP-Clients, Datenbanken, Remote-Administrations-Tools, VPN-Anwendungen und verschiedene Instant-Messenger. Agent Tesla ist jedoch auch in der Lage, Daten aus der Zwischenablage zu stehlen, Tastatureingaben aufzuzeichnen und Screenshots zu erstellen.

Agent Tesla sendet alle gesammelten Informationen per E-Mail an die Angreifer. Bestimmte Modifizierungen der Malware sind allerdings auch in der Lage, die Daten per Telegram an die Kriminellen zu überliefern oder sie auf einer Website oder einem FTP-Server hochzuladen.

Weitere Details in Bezug auf diese Malware und Kampagne sowie Kompromittierungsindikatoren finden Sie in diesem Securelist-Beitrag.

So können Sie sich schützen

Idealerweise sollten solche Cyberbedrohungen bereits gestoppt werden, sobald eine bösartige E-Mail den Mail-Server des Unternehmens erreicht. Obwohl es nicht immer möglich ist, Bedrohungen mit bloßem Auge zu erkennen, sind E-Mail-Scanner dieser Aufgabe in der Regel mehr als gewachsen. Es ist daher ratsam, Ihren Mailserver mit einer geeigneten Sicherheitslösung zu schützen.

Zudem sollten Sie in Erwägung ziehen, das Bewusstsein Ihrer Mitarbeiter für Cybersicherheit zu stärken, zum Beispiel durch den Einsatz von Online-Schulungsplattformen.

Um sicherzustellen, dass die von den Angreifern verschickte Schadsoftware auf keinen Fall ausgeführt wird, sollten Sie die Computer Ihrer Mitarbeiter darüber hinaus mit einer entsprechenden Sicherheitslösung ausstatten.

Tipps