Cyberkriminelle w\u00e4hlen h\u00e4ufig Kleinunternehmen als Ziel, da sie selten viel Geld f\u00fcr Sicherheitssysteme ausgeben, oft nicht einmal einen IT-Spezialisten haben und mit gro\u00dfer Wahrscheinlichkeit nur mit einem oder zwei Computern arbeiten. Dies erleichtert die Auswahl eines Ziels, auf dem sich die Art von Informationen befindet, die f\u00fcr Cyberkriminelle interessante Beute ist. K\u00fcrzlich haben unsere Technologien einen weiteren Angriff auf kleine Online-Shops entdeckt. Mithilfe von Social-Engineering-Methoden versuchten Angreifer die Eigent\u00fcmer der Kleinbetriebe zur Ausf\u00fchrung von b\u00f6sartigen Skripts auf den Computern zu zwingen.<\/p>\n
Der interessanteste Aspekt dieses Angriffs ist der Trick, mit dem die Angreifer einen Ladenangestellten davon \u00fcberzeugen k\u00f6nnen, eine sch\u00e4dliche Datei herunterzuladen und zu \u00f6ffnen. Die Kriminellen geben sich als Kunden aus, die eine Bestellung bereits bezahlt haben, aber diese nicht erhalten k\u00f6nnen. In einer E-Mail behaupten sie, es g\u00e4be Probleme bei der Post und fordern das Kleinunternehmen dazu auf, ein Dokument mit Details (Absenderinformationen, Sendungsnummer usw.) auszuf\u00fcllen. W\u00fcrde ein anst\u00e4ndiger Gesch\u00e4ftsmann diese E-Mail ignorieren?<\/p>\n
Die in unvollst\u00e4ndigem, aber verst\u00e4ndlichem Englisch geschriebene Mail, enth\u00e4lt einen Link zu einem Objekt, das in Google Docs gehostet wird. Durch Klicken auf den Link wird der Download eines Archivs gestartet, das nat\u00fcrlich eine sch\u00e4dliche Datei enth\u00e4lt \u2013 in diesem Fall eine mit der Excel-Erweiterung .xlsx.<\/p>\n
Der Angriff ist einfach, aber effektiv. Erstens handelt es sich eindeutig nicht um ein Massenmailing \u2013 der Nachrichtentext wurde speziell f\u00fcr Online-Shops geschrieben und h\u00f6chstwahrscheinlich an eine entsprechende Liste gesendet. Zweitens enth\u00e4lt die E-Mail nichts B\u00f6sartiges. Es sind nur ein paar Abs\u00e4tze eines Textes und ein Link zu einem legitimen Dienst. Es ist unwahrscheinlich, dass automatische Mail-Filter eine solche Nachricht stoppen, da es sich nicht um Spam oder Phishing handelt und dar\u00fcber hinaus keine b\u00f6swilligen Anh\u00e4nge enth\u00e4lt.<\/p>\n
Die XLSX-Datei enth\u00e4lt ein Skript, das eine ausf\u00fchrbare Datei von einem Remotedienst herunterl\u00e4dt und ausf\u00fchrt. Es handelt sich hierbei um den Banking-Trojaner DanaBot, der unseren Systemen seit Mai 2018 bekannt ist<\/a>. Diese Malware ist modular aufgebaut und kann zus\u00e4tzliche Plugins herunterladen, mit denen der Datenverkehr abgefangen und Kennw\u00f6rter und sogar Cryptowallets gestohlen werden k\u00f6nnen. Zum jetzigen Zeitpunkt (laut der Statistik f\u00fcr das dritte Quartal 2019<\/a>) geh\u00f6rt es zu den Top 10 der Malware-Familien im Bankensektor.<\/p>\n Das beabsichtigte Ziel dieses Angriffs sind kleine Gesch\u00e4fte, daher ist auch es sehr wahrscheinlich, dass der infizierte Computer, mit dem die Mitarbeiter E-Mails lesen, auch der Hauptrechner f\u00fcr Bankgesch\u00e4fte ist. Kurzgesagt: Der Rechner enth\u00e4lt Informationen, nach denen die Angreifer suchen.<\/p>\n Erstens: Alle Computer ben\u00f6tigen eine zuverl\u00e4ssige Sicherheitsl\u00f6sung. Unsere Sicherheitstechnologien identifizieren nicht nur DanaBot (als Trojan-Banker.Win32.Danabot), sondern registrieren auch Skripte, die diesen Trojaner mit dem heuristischen Urteil HEUR: Trojan.Script.Generic herunterladen. Daher k\u00f6nnen Computer, auf denen Kaspersky-L\u00f6sungen ausgef\u00fchrt werden, einen solchen Angriff stoppen, noch bevor der Trojaner heruntergeladen wurde.<\/p>\n Zweitens: Aktualisieren Sie h\u00e4ufig verwendete Programme rechtzeitig. Updates f\u00fcr Betriebssysteme und Office-Suiten sollten dabei oberste Priorit\u00e4t haben. Angreifer verwenden h\u00e4ufig die Sicherheitsl\u00fccken dieser Programme als Infektionsweg f\u00fcr Malware.<\/p>\nSo sch\u00fctzt man sich gegen solche Angriffe<\/h2>\n