Palo Alto Networks: Comeback von Malware im Finanzsektor

Nur wenige Antivirus-Lösungen erkennen den Banking-Trojaner Dridex

[datensicherheit.de, 02.10.2015] Im September 2015 berichteten Medien über Festnahmen der mutmaßlichen Schlüsselfiguren einer Bande von Cyberkriminellen, die hinter der Entwicklung und Verbreitung des Banking-Trojaners Dridex steckt. Unit 42, das Forschungszentrum von Palo Alto Networks, beobachtete seitdem eine deutliche Abnahme der Aktivität im Zusammenhang mit diesem Banking-Trojaner – zumindest bis gestern (01.10.2015). So wurde entdeckt, dass Dridex mit einer großen E-Mail-Phishing-Kampagne erneut in der Bedrohungslandschaft in Aktion getreten ist. Mithilfe der AutoFocus-Plattform des Unternehmens wurden Malware-Proben identifiziert, die mit dem Wiederaufleben von Dridex in Zusammenhang stehen. Von Dridex waren in diesem Jahr auch Nutzer in Deutschland bereits betroffen.

Die Akteure, die aktuell hinter Dridex stehen, greifen auf Microsoft-Word-Dateien (.doc) mit eingebetteten Makros zurück, wie es bereits Anfang des Jahres der Fall war. Mit dem Bartalex-Kit, einer der Lieblingsbaukästen für viele Internetkriminelle, werden diese Makros erstellt, um bösartigen Inhalt zu transportieren. Wenn ein Benutzer das schädliche Dokument öffnet, greift der Makrocode auf eine URL zu und lädt die ausführbare Dridex-Datei herunter.

Derzeit erkennen nur 17 von 56 Virustotal-AV-Scannern die Doc-Dateien, die dem Wiederaufleben von Dridex zugerechnet werden, als bösartig. Nur zwei Anti-Virus-Scanner erkennen zudem den bösartigen Inhalt der Datei.

Die bösartigen Doc-Dateien, die identifiziert wurden, verwenden alle eine ähnliche Reihenfolge in ihrer Namenskonvention (z.B. „Order-SO00653333-1.doc“). Der Empfänger wir dazu aufgefordert, den Anhang auszudrucken. Obwohl diese Phishing-Ködertaktik nicht besonders anspruchsvoll ist, erweist sie sich nach wie vor als überraschend effektiv, um das Ziel der bösartigen Akteure zu erfüllen.

Cyberkriminelle, vor allem diejenigen, die es zu Wohlstand gebracht und sich langfristig etabliert haben, werden weiterhin Gefahren für Unternehmen und Heimanwender gleichermaßen darstellen. Dies wird sich so fortsetzen – trotz aller Rückschläge für die Cyberbanden als Folge von Verhaftungen oder operativen Herausforderungen. Auch wenn offenbar wichtige Akteure im Dridex-Team verhaftet worden sind, könnte die Organisation, die sie hinterlassen, sehr wohl in der Lage sein, vorerst aktiv zu bleiben. Anderenfalls warten andere kriminelle Gruppen ständig darauf, ein entstehendes Vakuum oder eine Gelegenheit zu nutzen. Das Wiederaufleben von Dridex im Oktober 2015 ist ein Beispiel dafür, wie Bedrohungen dieser Art sich anpassen und weiterentwickeln.