Cisco analysiert personalisierte Phishing-Angriffe auf besonders einträgliche Branchen

Cisco hat gezielte Phishing-Versuche entdeckt und analysiert, die sich auf besonders einträgliche Branchen konzentrieren. Zu ihnen zählten beispielsweise Banken, die Ölindustrie, TV-Sender und der Schmuckhandel. In seinem Sicherheitsblog Cisco Threat Spotlight berichtet es über die aufgedeckten Methoden und Ziele.

Die Angriffsversuche hinterließen vielfältige Spuren, die eine Analyse durch Ciscos Vulnerability Research Team (VRT) ermöglichten. Sie kombinierten extrem gezieltes Phishing (Spearphishing) mit Exploit-Versuchen, die von gängigen Antiviren-Lösungen meist nicht erkannt worden seien. Die Phishing-Mails waren eigens für den jeweiligen Empfänger geschrieben und gaben vor, im Anhang eine Rechnung, eine Bestellung oder eine Quittung im Microsoft-Word-Format zu enthalten.

Die unbekannten Angreifer versuchten, ein Feature in der Skriptsprache Visual Basic for Applications (VBA) zu nutzen, mit der sich Abläufe in Microsoft Office steuern lassen. Wenn das angepeilte Opfer das Word-Dokument öffnete, konnte das zum Download einer ausführbaren Datei und ihrem Start auf seinem Rechner führen.

Die Malware stand unter anderem beim Onlinespeicherdienst Dropbox zum Download bereit. Die Kommando- und Kontrollserver verbargen sich offenbar hinter den Domains Londonpaerl.co.uk und Selombiznet.in. Dabei fiel auf, dass Londonpaerl.co.uk eigentlich eine Tippfehler-Domain ist und dazu gedacht, versehentliche Besucher von Londonpearl.co.uk anzulocken, einem internationalen Vertrieb von Zuchtperlen und daraus gefertigtem Schmuck. Die Website mit der ähnlich geschriebenen Domain gibt sich jedoch als Arbeitsvermittlung aus und betreibt ihre undurchsichtigen Geschäfte seit mindestens 2007.

Wie Cisco berichtet, konnte es allein am 25. Juni fünf von Londonpaerl.co.uk ausgehende Backdoor-Komponenten blockieren. Diese Angriffe hätten sich innerhalb von 90 Minuten gegen einen einzigen Kunden von Ciscos Sicherheitssparte gerichtet, einen industriellen Herstellungsbetrieb.

„Während der Untersuchung identifizierten wir verschiedene Kampagnen, die offenbar dem gleichen Angreifer zuzuschreiben und mit unterschiedlichster Malware verbunden sind“, heißt es in dem Blogeintrag weiter. „Bei vielen der Domains scheint er zwischenzeitlich eine Nutzungspause einzulegen, vermutlich wegen früherer bösartiger Aktivitäten. Tatsächlich änderte der Angreifer einige Domain-Informationen im Laufe der Untersuchungen mehrmals.“

[mit Material von Natalie Gagliordi, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.