Cisco analysiert personalisierte Phishing-Angriffe auf besonders einträgliche Branchen

Die Angriffe kombinieren Spearphishing mit Exploit-Versuchen, die von gängigen Antiviren-Lösungen nicht erkannt werden. Die Phishing-Mails sind eigens für den jeweiligen Empfänger formuliert. Öffnet das Opfer eine angehängte Word-Datei, wird Malware vom Onlinespeicherdienst Dropbox nachgeladen.

Cisco hat gezielte Phishing-Versuche entdeckt und analysiert, die sich auf besonders einträgliche Branchen konzentrieren. Zu ihnen zählten beispielsweise Banken, die Ölindustrie, TV-Sender und der Schmuckhandel. In seinem Sicherheitsblog Cisco Threat Spotlight berichtet es über die aufgedeckten Methoden und Ziele.

cyberterroristen-v6

Die Angriffsversuche hinterließen vielfältige Spuren, die eine Analyse durch Ciscos Vulnerability Research Team (VRT) ermöglichten. Sie kombinierten extrem gezieltes Phishing (Spearphishing) mit Exploit-Versuchen, die von gängigen Antiviren-Lösungen meist nicht erkannt worden seien. Die Phishing-Mails waren eigens für den jeweiligen Empfänger geschrieben und gaben vor, im Anhang eine Rechnung, eine Bestellung oder eine Quittung im Microsoft-Word-Format zu enthalten.

Die unbekannten Angreifer versuchten, ein Feature in der Skriptsprache Visual Basic for Applications (VBA) zu nutzen, mit der sich Abläufe in Microsoft Office steuern lassen. Wenn das angepeilte Opfer das Word-Dokument öffnete, konnte das zum Download einer ausführbaren Datei und ihrem Start auf seinem Rechner führen.

Die Malware stand unter anderem beim Onlinespeicherdienst Dropbox zum Download bereit. Die Kommando- und Kontrollserver verbargen sich offenbar hinter den Domains Londonpaerl.co.uk und Selombiznet.in. Dabei fiel auf, dass Londonpaerl.co.uk eigentlich eine Tippfehler-Domain ist und dazu gedacht, versehentliche Besucher von Londonpearl.co.uk anzulocken, einem internationalen Vertrieb von Zuchtperlen und daraus gefertigtem Schmuck. Die Website mit der ähnlich geschriebenen Domain gibt sich jedoch als Arbeitsvermittlung aus und betreibt ihre undurchsichtigen Geschäfte seit mindestens 2007.

Wie Cisco berichtet, konnte es allein am 25. Juni fünf von Londonpaerl.co.uk ausgehende Backdoor-Komponenten blockieren. Diese Angriffe hätten sich innerhalb von 90 Minuten gegen einen einzigen Kunden von Ciscos Sicherheitssparte gerichtet, einen industriellen Herstellungsbetrieb.

„Während der Untersuchung identifizierten wir verschiedene Kampagnen, die offenbar dem gleichen Angreifer zuzuschreiben und mit unterschiedlichster Malware verbunden sind“, heißt es in dem Blogeintrag weiter. „Bei vielen der Domains scheint er zwischenzeitlich eine Nutzungspause einzulegen, vermutlich wegen früherer bösartiger Aktivitäten. Tatsächlich änderte der Angreifer einige Domain-Informationen im Laufe der Untersuchungen mehrmals.“

[mit Material von Natalie Gagliordi, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cisco, Malware, Phishing, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Cisco analysiert personalisierte Phishing-Angriffe auf besonders einträgliche Branchen

Kommentar hinzufügen
  • Am 1. Juli 2014 um 21:45 von Backdoor

    Schon ungesund, sofern man CISCO-Hardware einsetzt, die per Backdoor offen sein muß.

    „Cisco hat gezielte Phishing-Versuche entdeckt.“

    Jegliche US-Hardware und Software ist offen per Default. Da helfen auch keine gezielten Entdeckungen. Lächerlich.

  • Am 3. Juli 2014 um 8:36 von Ja, und ...

    … Microsoft kapert einfach mal so per Gerichtsbeschluss eines Provinzgerichts fast alle noip.com DynDNS Domains, weil sie gegen ‚Malware‘ vorgehen wollen – diese sei laut Cisco sehr häufig via noip.com Domains verbreitet worden.

    http://m.heise.de/newsticker/meldung/DynDNS-Dienst-Microsoft-stoert-gute-und-boese-NoIP-Nutzer-2247921.html

    Na toll: sie können ja demnächst auch die Google DNS stilllegen, weil diese für die Verbreitung von SPAM genutzt werden?

    Ein Unding … und nun kennt Microsoft alle noip.domains inkl Anmeldedaten – das freut die NSA doch sicherlich.

    Wie kapere ich legal Dienste eines Mitbewerbers – eine Tragödie in drei Micro$oft Akten. ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *