Hacker attackieren Excel-Dateien

Attacken auf unbedarfte Excel-Anwender. Die Hackergruppe TA505 (Threat Actor 505, auch Graceful Spider bzw. Gold Tahoe genannt) hat eine ganze Reihe digitaler Angriffe auf Unternehmen gestartet, darunter eine Kampagne speziell im deutschsprachigen Raum.

Gefälschte Excel Datei 1 (Bild: Proofpoint)
So oder so ähnlich sehen die Nachrichten aus, mit denen die kriminelle Hackergruppe TA505 Unternehmen und private Anwender in Deutschland und Österreich attackiert.

Seit Anfang September 2021 beobachten die Experten des US-amerikanischen Cybersecurity-Spezialisten Proofpoint erneut Malware-Kampagnen der Hackergruppe TA505. Die Gruppe verfügt offensichtlich über beträchtliche finanzielle Mittel, da sie bereits in der Vergangenheit für die mitunter größten digitalen Attacken via E-Mail verantwortlich war. Dabei kam Schadsoftware wie Dridex und The Trick (beide zum Ausspähen von Login-Daten des Online-Bankings) oder die Erpressungssoftware Locky und Jeff zum Einsatz. Die jetzt beobachteten Kampagnen, die sich über eine Vielzahl von Branchen erstrecken, begannen mit E-Mails in geringer Zahl. Seit Ende September nimmt das Volumen zu und erreicht nun im Oktober hunderttausende von E-Mails.

Gefälschte Excel Datei 2 (Bild: Proofpoint)
Wird der Inhalt der Excel-Datei aktiviert, installieren sich die Anwender Software zum Ausspionieren der Login-Daten des Online-Bankings oder verschlüsseln ihren PC und müssen dann Lösegeld bezahlen, um diesen wieder zu entschlüsseln.

Viele der Kampagnen, insbesondere die großvolumigen, ähneln stark den Aktivitäten von TA505 in den Jahren 2019 und 2020. Zu den Gemeinsamkeiten gehören Ähnlichkeiten bei den Domain-Namen, E-Mail-Ködern, Excel-Datei-Ködern sowie die Verwendung des Remote-Access-Trojaners (RAT) FlawedGrace.

„Öffnen Sie niemals Dateien unbekannter Herkunft“, warnt Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint. „Derzeit attackiert die Hackergruppe TA505 erneut Anwender in Deutschland und Österreich mit einer Serie von Cyberkampagnen. Klicken Sie auf eine Datei der Kriminellen, wird der PC beispielsweise verschlüsselt und nur gegen Lösegeld wieder entschlüsselt. Eine weitere, dabei ebenfalls sehr häufig von den Tätern angewandte Taktik ist der Diebstahl von Login-Daten.“

Sie empfiehlt darüber hinaus: „Privatnutzer sollten einfach die komplette E-Mail des unbekannten Absenders löschen. Erhalten Sie eine verdächtige Mail auf Ihrem Firmen-PC, geben Sie umgehend der IT-Abteilung Ihres Unternehmens Bescheid. Diese kümmert sich darum, dass nichts Schlimmes passiert.“

Gefälschte Excel Datei 3 (Bild: Proofpoint)

13. Oktober 2021 Landing Page, die das Branding von Microsoft und OneDrive missbraucht.

TA505 ist ein etablierter Bedrohungsakteur, der finanziell motiviert und dafür bekannt ist, bösartige E-Mail-Kampagnen in bisher ungekanntem Ausmaß durchzuführen. Die Gruppe ändert regelmäßig ihre TTPs und gilt als Trendsetter in der Welt der Cyberkriminalität. Dieser Bedrohungsakteur schränkt seine Ziele nicht ein und ist in der Tat ein Opportunist, wenn es darum geht, welche Regionen und Branchen er angreifen will. Dies in Kombination mit der Fähigkeit von TA505, flexibel zu sein, sich auf die lukrativsten Ziele zu konzentrieren und seine TTPs je nach Bedarf zu ändern, macht diesen Akteur zu einer ständigen Bedrohung.

Die Forscher von Proofpoint gehen davon aus, dass TA505 seine Operationen und Methoden weiterhin anpassen wird, immer mit Blick auf den finanziellen Gewinn. Der Einsatz von Zwischenladern in seiner Angriffskette wird wahrscheinlich auch zu einer längerfristigen Technik des Bedrohungsakteurs werden.

ZDNet.de Redaktion

Recent Posts

Jeder zweite hat Probleme mit Internetanbieter

Laut EY haben innerhalb eines Jahres 22 Prozent der Haushalte ihren Provider gewechselt – nirgendwo…

1 Tag ago

Tech-Unternehmen in Deutschland blicken mit Sorge auf die USA

Bitkom-Umfrage zeigt: 78 Prozent befürchten durch Trump-Sieg Schaden für die deutsche Wirtschaft.

1 Tag ago

Support-Ende von Windows 10: Microsoft hält an TPM 2.0 für Windows 11 fest

Der Sicherheitschip ist laut Microsoft eine „Notwendigkeit“. Die Hardwareanforderungen für Windows 11 führen allerdings weiterhin…

1 Tag ago

IONOS führt Preisrechner für Cloud-Dienste ein

Wer die Cloud-Angebote des IT-Dienstleisters nutzen will, kann ab sofort die Kosten noch vor Bereitstellung…

2 Tagen ago

Jahresrückblick: 467.000 neue schädliche Dateien täglich

Die Zahl der neuen schädlichen Dateien steigt seit 2021 kontinuierlich. 93 Prozent der Angriffe nehmen…

2 Tagen ago

Kaspersky-Prognose: Raffiniertere Deepfakes und mehr Abo-Betrug

Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…

3 Tagen ago