Coronavirus als Köder

So wird die Angst vor dem Coronavirus von Phishern ausgenutzt, um Unternehmen anzugreifen und Malware zu verteilen.

E-Mails, die Geschäftskorrespondenzen mit schädlichen Anhängen imitieren, sind nichts Neues. Tatsächlich haben wir derartige Junk-E-Mails bereits seit über drei Jahren unter Beobachtung. Je besser die Fake-E-Mail jedoch ist, desto höher ist auch die Wahrscheinlichkeit, dass das nichtsahnende Opfer auf diese Masche hereinfällt.

Derartiges Phishing ist besonders gefährlich für Mitarbeiter von Unternehmen, die Waren verkaufen, da E-Mails mit Liefer- oder Bestellanfragen völlig normal sind. Sogar jemand, der darauf trainiert ist, eine Fälschung zu erkennen, kann manchmal Schwierigkeiten haben, festzustellen, ob es sich bei einer Nachricht um Phishing oder um eine legitime Bestellung eines Kunden handelt. Daher wächst die Anzahl überzeugender Fake-E-Mails weiter, obwohl sie längst noch nicht so häufig anzutreffen sind wie herkömmlicher bösartiger Spam. Dies liegt jedoch daran, dass sie für einen bestimmten Zweck entwickelt und an bestimmte Adressen gesendet werden.

In den letzten Wochen haben Betrüger den Ausbruch des Coronavirus ausgenutzt, um derartigen Mails zusätzliche Glaubwürdigkeit zu verleihen. In den E-Mails werden häufig Zustellungsprobleme im Zusammenhang mit dem Coronavirus genannt, die den Empfänger dazu veranlassen, sich zu fragen, von welcher Bestellung die Rede ist. In anderen Fällen nutzen Angreifer die Pandemie, um auf die dringende Bearbeitung einer Anfrage zu drängen, da ihre üblichen Partner Waren nicht rechtzeitig liefern können. Was auch immer der Fall sein mag, das Ziel ist es, das Opfer dazu zu bringen, einen schädlichen Anhang zu öffnen. Standardtricks werden als Vorwand verwendet und beinhalten normalerweise eine Anfrage zur Überprüfung von Versanddetails, Zahlungsdaten, einer Bestellung oder Produktverfügbarkeit.

Im Folgenden finden Sie einige spezifische Beispiele für diese Art von Phishing und die damit verbundenen Risiken.

Verspätete Lieferung

Die Betrüger geben an, dass es aufgrund von Covid-19 zu Lieferverzögerungen kommt. Im Anhang fügen sie netterweise die aktualisierten Lieferinformationen zusammen mit neuen Anweisungen bei. Insbesondere fragen sie, ob die Lieferzeit angemessen ist, und fordern den Empfänger auf, die angehängte Datei zu öffnen, die auf den ersten Blick wie eine Rechnung im PDF-Format aussieht.


Anstelle einer Rechnung befindet sich jedoch ein NSIS-Installationsprogramm, das ein schädliches Skript ausführt, im Anhang. Das Skript startet dann einen Standardprozess für cmd.exe und führt bösartigen Code aus. Auf diese Weise wird der Code im Rahmen eines legitimen Prozesses ausgeführt, wobei Standardabwehrmechanismen umgangen werden. Das Ziel ist es, die Handlungen des Benutzers auszuspionieren. Unsere E-Mail-Sicherheitsprodukte erkennen diese Bedrohung als Trojan-Spy.Win32.Noon.gen.

Eilauftrag

Die Betrüger behaupten, dass ihre chinesischen Lieferanten aufgrund des Ausbruchs des Coronavirus ihren Verpflichtungen nicht nachkommen können. Es klingt unter den gegenwärtigen Umständen überzeugend genug. Um ihre Kunden nicht zu enttäuschen, versuchen sie angeblich, einige Waren (in der Mail nicht angegeben) bei dem Unternehmen, bei dem der Empfänger arbeitet, dringend zu bestellen. Welches Unternehmen kann einer solchen plötzlichen Gelegenheit widerstehen?


Überraschung! Die angehängte Datei enthält keinen solchen Auftrag, sondern Backdoor.MSIL.NanoBot.baxo. Beim Start wird bösartiger Code im legitimen RegAsm.exe-Prozess ausgeführt (um Verteidigungsmechanismen zu umgehen). Dies führt dazu, dass die Angreifer Fernzugriff auf den Computer des Opfers erhalten.

Ein weiterer Eilauftrag

Hierbei handelt es sich um eine Variation des oben genannten Falls. Wieder erwähnt der Betrüger, dass ein fiktiver chinesischer Lieferant Lieferprobleme hat, und erkundigt sich nach Preisen und Lieferbedingungen für Waren, die in einer angehängten DOC-Datei aufgeführt sind.

Hier wird eine DOC-Datei aus einem ganz bestimmten Grund verwendet. Diese enthält nämlich ein Exploit, das auf die Sicherheitsanfälligkeit CVE-2017-11882 in Microsoft Word abzielt (unsere Lösungen erkennen sie als Exploit.MSOffice.Generic). Beim Öffnen wird die Backdoor Backdoor.MSIL.Androm.gen heruntergeladen und ausgeführt. Wie bei allen Backdoors besteht das Ziel darin, Fernzugriff auf das infizierte System zu erhalten.

Die Zeit rennt!

Dieses Programm richtet sich an Unternehmen, bei denen aufgrund der Coronavirus-Pandemie (eine recht große Gruppe und stetig wachsende Zahl) Workflow-Störungen auftreten. Die Betrüger drängen den Empfänger zum Handeln und drücken gleichzeitig die Hoffnung aus, dass das Unternehmen nach der Störung des Coronavirus die Arbeit wieder aufnehmen kann.


Anstelle einer Bestellung enthält der Anhang allerdings den Trojaner Trojan.Win32.Vebzenpak.ern. Beim Start wird bösartiger Code im legitimen RegAsm.exe-Prozess ausgeführt. Ziel ist es erneut, den Angreifern Fernzugriff auf den gefährdeten Computer zu ermöglichen.

So schützen Sie sich vor böswilligen E-Mail-Anhängen

Befolgen Sie diese Tipps, um zu verhindern, dass Cyberkriminelle Ihnen einen Trojaner oder einen Backdoor in Anhangform unterschieben:

  • Überprüfen Sie sorgfältig die Erweiterungen der angehängten Dateien. Wenn es sich um eine ausführbare Datei handelt, liegt die Wahrscheinlichkeit, dass sie unsicher ist, nahe bei 100%.
  • Überprüfen Sie, ob die Absenderfirma tatsächlich existiert. Heutzutage haben selbst die kleinsten Unternehmen einen Online-Fußabdruck (z. B. Social-Media-Konten). Wenn Sie nichts finden, tun Sie nichts! In jedem Fall lohnt es sich wahrscheinlich nicht, mit einem solchen Unternehmen Geschäfte zu machen.
  • Überprüfen Sie, ob die Details im Absenderfeld und die automatische Signatur übereinstimmen. Seltsamerweise übersehen Betrüger dieses Detail oft.
  • Denken Sie daran, dass Cyberkriminelle Informationen über ihr „Unternehmen“ aus offenen Quellen abrufen können. Wenn Sie also Zweifel haben, obwohl die E-Mail echte Informationen zu enthalten scheint, wenden Sie sich an das Unternehmen, um zu bestätigen, dass die Nachricht gesendet wurde.
  • Stellen Sie vor allem sicher, dass Ihr Unternehmen eine zuverlässige Sicherheitslösung für Workstations und Mailserver verwendet. Stellen Sie außerdem sicher, dass es regelmäßig aktualisiert wird und aktuelle Datenbanken verwendet. Wenn nicht, kann es schwierig sein, festzustellen, ob ein E-Mail-Anhang schädlich ist, insbesondere in Bezug auf Office-Dokumente.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.