Diese bereits einige Jahre alte Schadsoftware macht zurzeit in Excel-Dateien die Runde, die per Mail verschickt werden. Dabei hat der Schädling es vor allem auf Passwörter und andere Nutzerdaten abgesehen.

[datensicherheit.de, 22.01.2021] „Wenn das Wochenende vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit deutlich nach. Das machen sich Kriminelle zunutze“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense.

Tim Berghoff, Security Evangelist bei G DATA CyberDefense, Foto: G DATA

Bereits Mitte der Woche zeichnete sich ab, dass eine Schadsoftware mit dem Namen Dridex wieder verstärkt aktiv ist. Dieser Schädling ist für G DATA kein unbeschriebenes Blatt – bereits 2015 haben wir über diese Malware berichtet. Wie damals versteckt sich das Schadprogramm auch in diesem Fall in einer Office-Datei, getarnt als Versandbestätigung. Heruntergeladen wird die eigentliche Malware über ein eingebettetes Makro, welches sich hinter der „Drucken“-Funktion verbirgt.

Gerade im Moment sollten Nutzer also verstärkt auf der Hut sein, wenn es um solche vermeintlichen Versandbestätigungen geht. G DATA-Kunden sind geschützt – sowohl die Office-Datei als auch das darin eingebettete Makro werden von allen G DATA Security-Lösungen erkannt.

Vorsicht bei unsignierten Makros

Um die Sicherheit noch weiter zu erhöhen, lohnt es sich, Makros vor allem in Firmennetzwerken global zu deaktivieren. Sind dennoch Makros an einigen Stellen unverzichtbar, sollten nur signierte Makros verwendet und zugelassen werden. Die entsprechenden Optionen finden sich in den Active Directory Gruppenrichtlinien.

Zurzeit scheinen Donnerstag und Freitag zu den beliebteren Tagen für den Versand von Schadsoftware zu gehören. Bereits in der vergangenen Woche haben Kriminelle mit Gootkit / Kronos diesen Zeitpunkt für ihre Angriffe gewählt. Bei näherer Betrachtung ergibt das Sinn: Wenn das Wochenende unmittelbar vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit nach.

Weitere Informationen zum Thema:

datensicherheit.de, 11.12.2020
EMA-Hack: Gezielter Cyber-Angriff auf das Herz unserer KRITIS

Eine Untersuchung von unserem Gastautor Daniel Frank, Senior Malware Researcher bei Cybereason

[datensicherheit.de, 24.12.2020] Im Laufe des Dezember 2020 hat das Cybereason Nocturnus-Team Cybercrime-Kampagnen aufgespürt, die mit der Weihnachtszeit und insbesondere mit Online-Shopping verbunden sind. 2020 ist aus naheliegender Gründen Gründen ein Jahr, in dem Verbraucher ihre Einkaufsgewohnheiten geändert haben beziehungsweise ändern mussten und jetzt einen Großteil ihrer Einkäufe online erledigen.

Gefälschte Amazon-Geschenkkarte: Endverbraucher beliebtes Ziel für Cyberkriminelle

Endverbraucher sind schon lange ein beliebtes Ziel für Cyberkriminelle. Das durch die COVID-19-Pandemie stark gestiegene Volumen beim Online-Shopping, macht diese Art der Angriffe potenziell noch attraktiver. Laut der Daten des aktuellen IBM U.S. Retail Index, der im August dieses Jahres veröffentlicht wurde „hat die Pandemie die Verlagerung von physischen Ladengeschäften hin zu digitalen Einkäufen um eine Größenordnung von etwa fünf Jahren beschleunigt“ und der „E-Commerce wird im Jahr 2020 voraussichtlich um fast 20 % wachsen.“

Cyberkriminelle verfolgen diese Trends sehr aufmerksam, um daraus Kapital zu schlagen. Eine kürzlich beobachtete Kampagne nutzt Scams mit gefälschter Amazon-Geschenkkarte, um den berüchtigten Banking-Trojaner Dridex einzuschleusen.

Die wichtigsten Ergebnisse auf einen Blick:

• Bedrohungsakteure nutzen die Weihnachtszeit gezielt aus: Cyberkriminelle profitieren vom steigenden Volumen beim Online-Shopping und nehmen mit Amazon gezielt die Nutzer einer der beliebtesten Shopping-Plattformen ins Visier.
• Ziele in den USA und den westeuropäischen Ländern: Die überwiegende Mehrzahl der Opfer scheint sich in den USA und Westeuropa zu befinden. Dort ist Amazon sehr populär und verfügt über lokale Websites.
• Social Engineering: Die Kampagne verwendet legitim erscheinende E-Mails, Icons und Namenskonventionen,  um die Opfer zu täuschen und zum Herunterladen der bösartigen Anhänge zu verleiten.
• Unterschiedliche Infektionswege: Es sind drei unterschiedliche Infektionswege beobachtet worden: SCR-Dateien, ein bösartiges Dokument und ein VBScript.
• Mehrstufig: Jeder einzelne dieser Infektionsmechanismen enthält mehrere Stufen, entweder wird ein passwortgeschütztes Archiv entpackt, das verschiedene Dateitypen enthält, oder es werden PowerShell-Befehle ausgeführt, um eine Verbindung mit dem C2-Server herzustellen.
• Finale Payload mit schwerwiegenden Folgen: Bei der finalen Payload handelt es sich um den berüchtigten Dridex-Trojaner.

Hintergrund

Dridex ist einer der berüchtigtsten und produktivsten Banken-Trojaner, der in verschiedenen Varianten seit mindestens 2012 kursiert und zuvor als Feodo (AKA Cridex, Bugat) in Erscheinung getreten ist. Es handelt sich um eine schwer fassbare, sogenannte evasive Malware, die E-Banking-Zugangsdaten und andere sensible Informationen stiehlt.

Die Command-and-Control-Server-(C2)-Infrastruktur ist ausgesprochen robust.Die Server fungieren dabei untereinander als Backup. Fällt einer der Server aus, wird eine Verbindung mit dem nächsten in der Reihe hergestellt, so dass Dridex die gestohlenen Daten auch tatsächlich abziehen kann.

Dridex wird am häufigsten über Phishing-E-Mails verbreitet, die Microsoft Office-Dokumente mit bösartigen Makros enthalten. Dridex wird außerdem ständig mit neuen Funktionen aktualisiert, die verhindern sollen, dass die Malware analysiert werden kann. Dridex wird größtenteils von Evil Corp betrieben, einer der finanzstärksten

Cybercrime-Gruppierungen, die bereits seit mehr als einem Jahrzehnt aktiv ist. Einer ihrer bekanntesten Verbündeten ist TA505, ebenfalls eine finanziell motivierte Gruppe, die Dridex seit 2014 vertreibt. TA505 setzt bekanntermaßen weitere Malware wie etwa SDBOT, Servhelper und FlawedAmmyy sowie die C LOP-Ransomware ein.

Die aktuelle Kampagne richtet sich gegen Endverbraucher. Ihnen wird fälschlicherweise mitgeteilt, dass sie eine Amazon-Geschenkkarte bekommen haben. Fällt das Opfer auf den Betrug herein, kann das Ziel über drei ähnliche, aber dennoch unterschiedliche Wege infiziert werden:

• Ein Word-Dokument mit dem typischen bösartigen Makro
• Eine selbstextrahierende SCR-Datei, eine bekannte Technik von Dridex
• Eine VBScript-Datei als E-Mail-Anhang, auch das eine bekannte Technik in Zusammenhang mit Dridex

Weitere Informationen zum Thema:

datensicherheit.de, 09.12.2020
Cybereason: Neue Malware missbraucht facebook und Dropbox

[datensicherheit.de, 04.07.2016] Forscher von proofpoint haben nach eigenen Angaben eine neue „Ransomware“ namens „Bart“ entdeckt, die von den Tätern hinter „Dridex“ und „Locky“ stammen soll.

Dateienverschlüsselung ohne Verbindung mit C&C-Server

Angreifer nutzen demnach die Malware „RockLoader“, um „Bart“ über HTTPS runterzuladen. „Bart“ verwende einen Bezahlbildschirm wie „Locky“, verschlüssele jedoch Dateien, ohne sich zuvor mit einem Command-and-Control-Server (C&C) zu verbinden.
Nach der Verschlüsselung werde an die Namen der verschlüsselten Dateien die Erweiterung „.bart.zip“ angehängt. Oberflächlich betrachtet seien diese Dateien dann verschlüsselte Zip-Archive.

Lösegeldforderung von rund 1.800 Euro

Bei der Lösegeldforderung werde der Benutzer aufgefordert, ein Bezahlportal zu besuchen und dort drei Bitcoins (beim derzeitigen Wechselkurs etwas weniger als 1.800 Euro) zu bezahlen. Dieses Bezahlportal ähnele demjenigen bei „Locky“ verwendeten; optisch sei nur die Überschrift „Decryptor Bart“ neu, anstelle der vorherigen Überschrift „Locky Decryptor“. Während die Bezahlportale für „Locky“ und „Bart“ optisch identisch seien, unterscheide sich der Ransomware-Code erheblich.

Weitere Informationen zum Thema:

proofpoint
Nein! Neue Ransomware „Bart“ von den Bedrohungsakteuren, die Dridex und Locky verbreiten

[datensicherheit.de, 13.04.2016] Bereits 51 Prozent der Deutschen sollen laut Eurostat im Jahr 2015 ihre Bankgeschäfte online erledigt haben – zum Ende des Jahres haben die G DATA SecurityLabs nach eigenen Angaben „massive Angriffe durch den Banking-Trojaner Dridex“ verzeichnet. Diese sollen durch die G-DATA-Technologie „BankGuard“ abgewehrt worden sein.

Verbreitung über Spam-Mails

Die Kriminellen hinter „Dridex“ versuchten durch Spam-Mails, mit fingierten Rechnungen oder angeblichen Steuerrückzahlungen die Empfänger in die Falle zu locken.
Insgesamt hätten die Angriffe durch Banking-Trojaner als Hauptziel den anglophonen Sprachraum gehabt, denn 80 Prozent aller identifizierten Ziel-Seiten stammten aus englischsprachigen Ländern.
Zu Beginn des zweiten Halbjahres 2015 habe es zunächst den Anschein gegeben, als wenn Angriffe durch Banking-Trojaner deutlich abnehmen würden. Der zuvor dominante „Swatbanker“ aus der „Cridex“-Gruppe sei fast vollständig von der Bildfläche verschwunden. Im Dezember 2015 habe „Dridex“ dann jedoch über massenhaft versendeten E-Mails mit angeblichen Rechnungen für eine enorme Angriffswelle gesorgt.

Allein 2015 5.143.784 neue Schadprogrammtypen

Im zweiten Halbjahr 2015 hätten die G DATA SecurityLabs insgesamt 2.098.062 neue Signaturvarianten verzeichnet. Mit 5.143.784 liege die Gesamtzahl der neuen Schaddateien 2015 nur knapp unter dem Wert von 2014.

Weitere Informationen zum Thema:

G DATA
G DATA Malware Report

[datensicherheit.de, 02.10.2015] Im September 2015 berichteten Medien über Festnahmen der mutmaßlichen Schlüsselfiguren einer Bande von Cyberkriminellen, die hinter der Entwicklung und Verbreitung des Banking-Trojaners Dridex steckt. Unit 42, das Forschungszentrum von Palo Alto Networks, beobachtete seitdem eine deutliche Abnahme der Aktivität im Zusammenhang mit diesem Banking-Trojaner – zumindest bis gestern (01.10.2015). So wurde entdeckt, dass Dridex mit einer großen E-Mail-Phishing-Kampagne erneut in der Bedrohungslandschaft in Aktion getreten ist. Mithilfe der AutoFocus-Plattform des Unternehmens wurden Malware-Proben identifiziert, die mit dem Wiederaufleben von Dridex in Zusammenhang stehen. Von Dridex waren in diesem Jahr auch Nutzer in Deutschland bereits betroffen.

Die Akteure, die aktuell hinter Dridex stehen, greifen auf Microsoft-Word-Dateien (.doc) mit eingebetteten Makros zurück, wie es bereits Anfang des Jahres der Fall war. Mit dem Bartalex-Kit, einer der Lieblingsbaukästen für viele Internetkriminelle, werden diese Makros erstellt, um bösartigen Inhalt zu transportieren. Wenn ein Benutzer das schädliche Dokument öffnet, greift der Makrocode auf eine URL zu und lädt die ausführbare Dridex-Datei herunter.

Derzeit erkennen nur 17 von 56 Virustotal-AV-Scannern die Doc-Dateien, die dem Wiederaufleben von Dridex zugerechnet werden, als bösartig. Nur zwei Anti-Virus-Scanner erkennen zudem den bösartigen Inhalt der Datei.

Die bösartigen Doc-Dateien, die identifiziert wurden, verwenden alle eine ähnliche Reihenfolge in ihrer Namenskonvention (z.B. „Order-SO00653333-1.doc“). Der Empfänger wir dazu aufgefordert, den Anhang auszudrucken. Obwohl diese Phishing-Ködertaktik nicht besonders anspruchsvoll ist, erweist sie sich nach wie vor als überraschend effektiv, um das Ziel der bösartigen Akteure zu erfüllen.

Cyberkriminelle, vor allem diejenigen, die es zu Wohlstand gebracht und sich langfristig etabliert haben, werden weiterhin Gefahren für Unternehmen und Heimanwender gleichermaßen darstellen. Dies wird sich so fortsetzen – trotz aller Rückschläge für die Cyberbanden als Folge von Verhaftungen oder operativen Herausforderungen. Auch wenn offenbar wichtige Akteure im Dridex-Team verhaftet worden sind, könnte die Organisation, die sie hinterlassen, sehr wohl in der Lage sein, vorerst aktiv zu bleiben. Anderenfalls warten andere kriminelle Gruppen ständig darauf, ein entstehendes Vakuum oder eine Gelegenheit zu nutzen. Das Wiederaufleben von Dridex im Oktober 2015 ist ein Beispiel dafür, wie Bedrohungen dieser Art sich anpassen und weiterentwickeln.