Cisco hat gezielte Phishing-Versuche entdeckt und analysiert, die sich auf besonders einträgliche Branchen konzentrieren. Zu ihnen zählten beispielsweise Banken, die Ölindustrie, TV-Sender und der Schmuckhandel. In seinem Sicherheitsblog Cisco Threat Spotlight berichtet es über die aufgedeckten Methoden und Ziele.
Die Angriffsversuche hinterließen vielfältige Spuren, die eine Analyse durch Ciscos Vulnerability Research Team (VRT) ermöglichten. Sie kombinierten extrem gezieltes Phishing (Spearphishing) mit Exploit-Versuchen, die von gängigen Antiviren-Lösungen meist nicht erkannt worden seien. Die Phishing-Mails waren eigens für den jeweiligen Empfänger geschrieben und gaben vor, im Anhang eine Rechnung, eine Bestellung oder eine Quittung im Microsoft-Word-Format zu enthalten.
Die unbekannten Angreifer versuchten, ein Feature in der Skriptsprache Visual Basic for Applications (VBA) zu nutzen, mit der sich Abläufe in Microsoft Office steuern lassen. Wenn das angepeilte Opfer das Word-Dokument öffnete, konnte das zum Download einer ausführbaren Datei und ihrem Start auf seinem Rechner führen.
Die Malware stand unter anderem beim Onlinespeicherdienst Dropbox zum Download bereit. Die Kommando- und Kontrollserver verbargen sich offenbar hinter den Domains Londonpaerl.co.uk und Selombiznet.in. Dabei fiel auf, dass Londonpaerl.co.uk eigentlich eine Tippfehler-Domain ist und dazu gedacht, versehentliche Besucher von Londonpearl.co.uk anzulocken, einem internationalen Vertrieb von Zuchtperlen und daraus gefertigtem Schmuck. Die Website mit der ähnlich geschriebenen Domain gibt sich jedoch als Arbeitsvermittlung aus und betreibt ihre undurchsichtigen Geschäfte seit mindestens 2007.
Wie Cisco berichtet, konnte es allein am 25. Juni fünf von Londonpaerl.co.uk ausgehende Backdoor-Komponenten blockieren. Diese Angriffe hätten sich innerhalb von 90 Minuten gegen einen einzigen Kunden von Ciscos Sicherheitssparte gerichtet, einen industriellen Herstellungsbetrieb.
„Während der Untersuchung identifizierten wir verschiedene Kampagnen, die offenbar dem gleichen Angreifer zuzuschreiben und mit unterschiedlichster Malware verbunden sind“, heißt es in dem Blogeintrag weiter. „Bei vielen der Domains scheint er zwischenzeitlich eine Nutzungspause einzulegen, vermutlich wegen früherer bösartiger Aktivitäten. Tatsächlich änderte der Angreifer einige Domain-Informationen im Laufe der Untersuchungen mehrmals.“
[mit Material von Natalie Gagliordi, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…