Sophos-Report: Lokalisierte Malware verbreitet sich

Malware spricht Deutsch

10. Mai 2016, 7:12 Uhr | LANline/wg

Eine Studie von Sophos zeigt den wachsenden Trend, Schadsoftware zu lokalisieren und Angriffe gezielt auf bestimmte Länder zuzuschneiden. Für die Studie haben die Security-Experten von Sophos Labs Informationen analysiert, die Millionen überwachter Endgeräte zwischen dem 1. Januar und dem 8. April 2016 weltweit gesammelt hatten.

Auch Cyberkriminelle stehen unter dem Druck, sich immer weiter zu professionalisieren, um im hart umkämpften Markt zu bestehen, so Sophos. Als Folge finde man vermehrt für lokale Gegebenheiten maßgeschneiderte Malware: Die Kriminellen bedienten sich zunehmend korrekter Sprachen und lokaler Zahlungsmethoden sowie landestypischer Marken, um ihre Opfer in den unterschiedlichen Ländern zu ködern, warnt der Security-Anbieter.

Zu diesem Zweck prüften die Kriminellen zunächst, aus welchem Land die IP-Adresse der Zielcomputer stammt und in welcher Sprache die Windows-Einstellungen vorgenommen wurden.

Um die Glaubwürdigkeit beispielsweise von betrügerischen E-Mails zu steigern, werde Ransomware in authentisch aussehenden E-Mail-Benachrichtigungen mit täuschend echt gefälschten Logos bekannter lokaler Marken versteckt. So imitierten die Betrüger zum Beispiel äußerst professionell die digitalen Benachrichtigungen lokaler Postgesellschaften, Steuer- und Strafverfolgungsbehörden oder Versorgungsunternehmen. Es würden gefälschte Lieferscheine, Rückerstattungen, Strafzettel oder Stromrechnungen versendet.

Auch der Versand von Ransomware in professionell und seriös anmutenden Bewerbungsschreiben nimmt zu. Die bekannten hanebüchenen Schreib-, Interpunktions- und Grammatikfehler, bisher untrügliches Indiz für gefälschte E-Mails, hätten die Sophos-Labs-Experten im Analysezeitraum dagegen immer seltener gefunden.

„In zunehmendem Maße nehmen Cyberkriminelle sogar die Dienste professioneller Übersetzer in der Zielregion in Anspruch, um ihre E-Mail-Fallen so echt wie möglich aussehen zu lassen“, so Chester Wisniewski, leitender Sicherheitsberater bei Sophos. „Außerdem wissen wir, dass gerade Kriminelle, die Banking-Trojaner einsetzen wollen, sich der regionalen Varianten bedienen. Schadsoftware, die die größten regionalen Geldinstitute zum Ziel hat, ist also ebenso lohnenswert wie wahrscheinlich.“

Die Sophos-Forscher haben verschiedene Ransomware-Stämme analysiert, die jeweils lokalisiert Ziele in unterschiedlichen Ländern angreifen. Laut Sophos zielen lokalisierte Versionen von Cryptowall überwiegend auf Opfer in den USA, Großbritannien, Kanada, Australien, Deutschland und Frankreich. Torrentlocker-Variationen hingegen haben in erster Linie Großbritannien, Italien, Australien und Spanien im Visier, während Teslacrypt maßgeschneidert vor allem Großbritannien, die USA, Kanada, Singapur und Thailand bedroht.

Die Sophos-Analyse zeigte auch, welche regional zugeschnittenen Trojaner verwendet werden, um Banken und Finanzinstitute in verschiedenen Ländern zu infiltrieren. Für die deutschsprachigen Regionen sind dies maßgeblich drei: Trustezeb spricht ausdrücklich Deutsch, durch diese Schadware wird vor allem die DACH-Region angegriffen. Dridex ist vorherrschend in Deutschland und in den USA. Zbot wiederum ist zwar weltweit verbreitet, wird aber vor allem in Deutschland, den USA, Großbritannien, Kanada, Australien, Italien, Spanien und Japan genutzt.

Weitere Informationen finden sich unter www.sophos.com.

Mehr zum Thema:

Fireeye-Studie zu Ransomware: Angriffe auf Fertigungs- und Finanzindustrie

Proofpoint: Ransomware ist die Malware Nr. 1

IBM-Report: Gesundheitsdaten ziehen Kriminelle besonders an


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu ioSafe

Weitere Artikel zu Siemens Enterprise Communications GmbH & Co. KG Leipzig

Weitere Artikel zu Desko GmbH

Weitere Artikel zu General Electric Dtl. Holding GmbH

Weitere Artikel zu BullGuard Germany GmbH

Weitere Artikel zu Airtight Networks

Matchmaker+