Amazon-Geschenkkarte mit Banking-Trojaner Dridex

Daniel Frank, Senior Malware Researcher bei Cybereason, berichtet, das Cybereason Nocturnus-Team habe kürzlich neue Cybercrime-Kampagnen aufgespürt, die mit der Weihnachtszeit und insbesondere mit Online-Shopping verbunden sind. 2020 ist aus naheliegender Gründen ein Jahr, in dem Verbraucher ihre Einkaufsgewohnheiten geändert haben beziehungsweise ändern mussten und jetzt einen Großteil ihrer Einkäufe online erledigen.

Endverbraucher sind schon lange ein beliebtes Ziel für Cyberkriminelle, auch wenn sich das Gewicht der Angriffe deutlich hin zu Unternehmen verschoben hat, bei denen sich mehr holen lässt.

Durch die COVID-19-Pandemie ist Online-Shopping beliebter und das macht diese Art der Angriffe attraktiver. Laut der Daten des aktuellen IBM U.S. Retail Index, der im August dieses Jahres veröffentlicht wurde „hat die Pandemie die Verlagerung von physischen Ladengeschäften hin zu digitalen Einkäufen um eine Größenordnung von etwa fünf Jahren beschleunigt“ und der „E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen.“

Eine kürzlich beobachtete Kampagne nutzt Scams mit gefälschten Amazon-Geschenkkarten, um den berüchtigten Banking-Trojaner Dridex einzuschleusen. Cyberkriminelle profitieren vom steigenden Volumen beim Online-Shopping und nehmen mit Amazon gezielt die Nutzer einer der beliebtesten Shopping-Plattformen ins Visier.

Die überwiegende Mehrzahl der Opfer scheint sich in den USA und Westeuropa zu befinden. Die Kampagne verwendet legitim erscheinende E-Mails, Icons und Namenskonventionen,  um die Opfer zu täuschen und zum Herunterladen der bösartigen Anhänge zu verleiten.Es sind drei unterschiedliche Infektionswege beobachtet worden: SCR-Dateien, ein bösartiges Word-Dokument und ein VBScript.

Jeder einzelne dieser Infektionsmechanismen enthält mehrere Stufen, entweder wird ein passwortgeschütztes Archiv entpackt, das verschiedene Dateitypen enthält, oder es werden PowerShell-Befehle ausgeführt, um eine Verbindung mit dem C2-Server herzustellen.

Dridex ist einer der berüchtigtsten und produktivsten Banken-Trojaner, der in verschiedenen Varianten seit mindestens 2012 kursiert und zuvor als Feodo (AKA Cridex, Bugat) in Erscheinung getreten ist. Es handelt sich um eine schwer fassbare, sogenannte evasive Malware, die E-Banking-Zugangsdaten und andere sensible Informationen stiehlt.

Die Command-and-Control-Server-(C2)-Infrastruktur ist ausgesprochen robust. Die Server fungieren dabei untereinander als Backup. Fällt einer der Server aus, wird eine Verbindung mit dem nächsten in der Reihe hergestellt, so dass Dridex die gestohlenen Daten auch tatsächlich abziehen kann.

Dridex wird am häufigsten über Phishing-E-Mails verbreitet, die Microsoft Office-Dokumente mit bösartigen Makros enthalten. Dridex wird außerdem ständig mit neuen Funktionen aktualisiert, die verhindern sollen, dass die Malware analysiert werden kann.

Dridex wird größtenteils von Evil Corp betrieben, einer der finanzstärksten Cybercrime-Gruppierungen, die bereits seit mehr als einem Jahrzehnt aktiv ist. Einer ihrer bekanntesten Verbündeten ist TA505, ebenfalls eine finanziell motivierte Gruppe, die Dridex seit 2014 vertreibt. TA505 setzt bekanntermaßen weitere Malware wie etwa SDBOT, Servhelper und FlawedAmmyy sowie die C LOP-Ransomware ein.