Phishing-Attacken auf deutsche Nutzer

Phishing-Attacke greift deutsche Nutzer mit gefälschten Kontoauszügen an

Von Monika Schaufler, Regional Sales Director CEMEA, bei Proofpoint

In den vergangenen Wochen hat Proofpoint eine vergleichsweise große und anhaltende Email-Attacke auf deutsche Nutzer beobachtet, die einen Phishing-Köder versendet, um den Emotet Banking-Trojaner gezielt auszuliefern. Die Kampagne bleibt von reputationsbasierten Filtern unerkannt, da sie durch mehrere Dutzend kompromittierte Webseiten pro Tag verbreitet wird, die gemeinsam Emails ausliefern, welche übliche Vorlagen von „Kontobenachrichtigung “ verwenden.

Die Nachrichten selbst beinhalten eine URL, die auf eine PDF-Datei mit Informationen zum neuen mobilen Service-Konto des Empfängers zu verweisen scheint. In Wirklichkeit aber, führen die URLs direkt zu einer komprimierten ausführbaren Datei, die den “Emotet” Banking-Trojaner herunterlädt.

Da viele Nutzer mittlerweile davor gewarnt sind, nicht auf ausführbare Dateien zu klicken  oder ZIP- undandere Dateien von unbekannten oder nicht vertrauenswürdigen Absendern zu öffnen, tarnt sich dieser Ordner als PDF: Die in der Nachricht verwendete URL mit enthaltenen ausführbaren Dateien leitet zu einer ZIP-Datei weiter, die passend zum Email Köder benannt wurde (wie z.B. “rechnung_vodafone_de.zip”). Die Namen der ausführbaren Dateien passen ebenso zur Kampagne (beispielsweise, “rechnung_vodafone_de_2014_11_930370025_023870007_11_de_0000003837_888830.exe”) und nutzen PDF- oder ähnliche Datei-Icons um Nutzern vorzutäuschen, dass es sich um sichere Dateiformate handelt. In der Realität können PDF Datein genauso gefährlich sein, wie gezippte ausführbare Dateien, jedoch zeigt die Erfahrung, dass Anwender bei diesen weniger vorsichtig sind als bei anderen Formaten. Die Kombination von dem Datei-Icon und dem langen Dateinamen, der die Dateierweiterung verbirgt, ist eine überzeugende Taktik. Die Antivirus-Erkennung dieser Malware ist schlecht – weniger als 4% der Antivirenprogramme haben die Datei zu dem Zeitpunkt erkannt, als die Kampagne versendet wurde.

Dieser Angriff unterstreicht die regionale Variabilität von Malware. Während Phishing die internationale Sprache bösartiger Täter sein mag, hängt die Effektivität von Malware – und vor allem von Banking-Trojanern – von einer starken regionalen oder sprachlichen Ausrichtung ab (Emotet ist ein treffendes Beispiel dafür: ursprünglich in Deutschland entdeckt, hat es sich in andere Länder verbreitet, da die Angreifer es an lokale Sprachen angepasst haben). Die meisten modernen Banking-Trojaner nutzen “Web Infizierungen”, mit deren Hilfe sie gefälschte Teile von Banking-Websites nachbauen, um Benutzerinformationen zu stehlen. Damit diese die geplante Wirkung haben, müssen sie sprachlich korrekt und überzeugend sein (also nur wenige oder keine offensichtlichen Rechtschreib- und Grammatikfehler haben) und an die Websites der Banken angepasst werden.

Dieser Grad an Spezialisierung bedeutet, dass Angreifer eine Malware so ausgedehnt wie möglich in einer bestimmten Region nutzen, um den Return on Investment zu maximieren. Aus diesem Grund haben Banking-Trojaner – mehr als die meisten Arten von Malware – eine starke regionale Ausrichtung. Es ist offensichtlich, dass,Cyberkriminelle immer noch Potenzial in der Emotet Malware in Deutschland sehen. Aus diesem Grund sollten deutschsprachige Organisationen und Nutzer vor Phishing-Kampagnen dieser Art gewarnt bleiben.