Banking-Trojaner als Geschäftskorrespondenz getarnt

Zur Verteilung der Banking-Malware IcedID und QBot verwenden Spammer schädliche Makros in angeblich wichtigen Dokumenten.

Für Mitarbeiter, die täglich hunderte von E-Mails erhalten, kann die Verlockung groß sein im „Autopilot-Modus“ die E-Mails zu überfliegen und Anhänge herunterzuladen, ohne jegliche Faustregeln für IT-Sicherheit im Büro zu beachten. Cyberkriminelle machen sich das zunutze und verschicken E-Mails mit angeblich sehr wichtigen Dokumenten, die von Phishing-Links bis hin zu Malware so ziemlich alles enthalten können. Unsere Experten haben vor Kurzem zwei recht gleichartige Spam-Kampagnen entdeckt, über die die Banking-Trojaner IcedID und QBot verteilt werden.

Spam mit schädlichen Dokumenten

Bei beiden Kampagnen wurden die Spammails als Unternehmenskorrespondenz getarnt. Im ersten Fall forderten die Angreifer einen auf Scheingründen beruhenden Schadenersatz oder gaben vor, eine Transaktion stornieren zu wollen. In der E-Mail war im Anhang eine komprimierte Excel-Datei mit dem Namen CompensationClaim (SchadenersatzForderung) und einige Nummern zu finden. Bei der zweiten Spam-Kampagne ging es um Zahlungen und Verträge. Diese E-Mails enthielten einen Link zu einer gehackten Website, auf der das Archiv mit dem Dokument gespeichert wurde.

In beiden Fällen versuchten die Angreifer die Empfänger dazu zu verleiten, die schädliche Excel-Datei zu öffnen und den Makrobefehl der Datei auszuführen, wodurch entweder IcedID oder (in selteneren Fällen) QBot auf das Gerät des Opfers heruntergeladen wurde.

IcedID und QBot

Die Banking-Trojaner IcedID und QBot gibt es schon seit einigen Jahren – IcedID wurde 2017 von Forschern entdeckt und QBot wurde bereits 2008 zum ersten Mal gesichtet. Das zeigt, dass Cyberkriminelle weiterhin ihre Taktik anpassen und optimieren. Beispielsweise wurde die Hauptkomponente von IcedID zeitweise mittels digitaler Steganographie in Bildern im PNG-Format versteckt. Mit dieser Methode war es sehr schwer die Malware zu entdecken.

Heute sind beide Programme über die Schattenwirtschaft erhältlich, d. h., nicht nur die Entwickler verteilen die Trojaner, sondern auch alle ihre Kunden. Die Hauptaufgabe der Malware besteht darin, Daten von Bankkarten und Zugangsdaten für Bankkonten zu stehlen (vorzugsweise von Unternehmenskonten, deswegen werden überwiegend Büromitarbeiter ins Visier genommen). Zu diesem Zweck verwenden die Trojaner verwenden verschiedene Methoden. Folgend einige Beispiele dafür, wozu die Trojaner fähig sind:

  • Sie können ein schädliches Skript in eine Website einschleusen, um die Daten abzufangen, die vom Benutzer eingegeben werden.
  • Benutzer von Online-Banking-Services auf eine gefälschte Anmeldeseite weiterleiten.
  • Daten stehlen, die auf einem Server gespeichert werden.

QBot verfügt über eine Keylogger-Funktion und kann die Tastatureingaben, bzw. eingetippte Kennwörter aufzeichnen.

Unglücklicherweise ist der Diebstahl von Zahlungsdetails nicht der einzige Ärger, den die Opfer erwartet. IcedID ist beispielsweise dazu in der Lage andere Malware herunterzuladen, einschließlich Ransomware, um damit die Geräte zu infizieren. Zu den weiteren Fähigkeiten von QBot zählt der Diebstahl von E-Mail-Threads. Diese Informationen können für andere Spam-Kampagnen nützlich sein. Darüber hinaus ermöglicht QBot seinen Betreibern aus der Ferne auf die infizierten Geräte zuzugreifen. Besonders auf Computern von Unternehmen kann das schwerwiegende Folgen haben.

So schützen Sie sich vor Banking-Trojaner

Egal, wie erfinderisch die Cyberverbrecher werden, müssen Sie das Rad nicht neu erfinden, um sich zu schützen. Beide Spam-Kampagnen verlassen sich darauf, dass die Empfänger unüberlegt handeln – wird die schädliche Datei nicht geöffnet, kann der Makrobefehl nicht ausgeführt werden und die Betrugsmasche ist fehlgeschlagen. So reduzieren Sie das Risiko dieser Kampagnen zum Opfer zu fallen:

  • Überprüfen Sie die Identität des Absenders, einschließlich des Namens der Domäne. Ein angeblicher Unternehmer oder ein Unternehmenskunde, der eine Gmail-Adresse verwendet, könnte verdächtig sein. Wenn Sie den Absender überhaupt nicht kennen, fragen Sie bei Ihren Kollegen nach.
  • Verbieten Sie die Ausführung von Makrobefehlen standardmäßig und seien Sie misstrauisch gegenüber Dokumenten, die Sie anfordern die Makros zu aktivieren. Führen Sie Makrobefehle nur dann aus, wenn es absolut notwendig – und sicher – ist.
  • Abgesehen von diesen Maßnahmen ist es wichtig eine zuverlässige Sicherheitslösung zu installieren. Wenn Sie Ihre eigenen Geräte für die Arbeit verwenden oder Ihr Chef es mit dem Schutz für Workstations nicht so ernst nimmt, versichern Sie sich, dass alle Geräte angemessen geschützt sind. Unsere Produkte erkennen sowohl IcedID als auch QBot.

Tipps