Proofpoint: Getarnte ZIP- und PDF-Dateien mit bösartigem Inhalt

Phishing-Attacke greift deutsche Nutzer mit gefälschten Kontoauszügen an

8. Dezember 2014, 10:31 Uhr | LANline/jos

In den vergangenen Wochen haben die Sicherheitsexperten von Proofpoint eine vergleichsweise große und anhaltende E-Mail-Attacke auf deutsche Nutzer beobachtet, die einen Phishing-Köder versendet, um den Emotet-Banking-Trojaner gezielt auszuliefern. Die Kampagne bleibt von reputationsbasierenden Filtern unerkannt, da sie durch mehrere Dutzend kompromittierte Websites pro Tag verbreitet wird, die gemeinsam E-Mails ausliefern, die übliche Vorlagen von "Kontobenachrichtigung" verwenden.

Die Nachrichten selbst enthalten eine URL, die auf eine PDF-Datei mit Informationen zum vermeintlich neuen mobilen Service-Konto des Empfängers zu verweisen scheint. In Wirklichkeit aber führen die URLs direkt zu einer komprimierten ausführbaren Datei, die den „“Emotet““-Banking-Trojaner herunterlädt.

Da viele Nutzer mittlerweile davor gewarnt sind, nicht auf ausführbare Dateien zu klicken  oder ZIP- und andere Dateien von unbekannten oder nicht vertrauenswürdigen Absendern zu öffnen, tarnt sich dieser Ordner als PDF: Die in der Nachricht verwendete URL mit enthaltenen ausführbaren Dateien leitet zu einer ZIP-Datei weiter, die passend zum E-Mail-Köder benannt ist (wie etwa “rechnung_vodafone_de.zip““). Die Namen der ausführbaren Dateien passen ebenso zur Kampagne (beispielsweise „“rechnung_vodafone_de_2014_11_930370025_023870007_11_de_0000003837_888830.exe““) und nutzen PDF- oder ähnliche Datei-Icons um Nutzern vorzutäuschen, dass es sich um sichere Dateiformate handele.

In der Realität können PDF-Dateien genauso gefährlich sein wie gezippte ausführbare Dateien, jedoch zeigt die Erfahrung, dass Anwender bei diesen weniger vorsichtig sind als bei anderen Formaten. Die Kombination von Datei-Icon und dem langen Dateinamen, der die Dateierweiterung verbirgt, ist offenbar eine gute Taktik: Die Antivirus-Erkennung dieser Malware ist schlecht – weniger als vier Prozent der Antivirenprogramme haben die Datei zu dem Zeitpunkt erkannt, als die Kampagne aktiv war.

Dieser Angriff unterstreicht die regionale Variabilität von Malware. Während Phishing die internationale Sprache bösartiger Täter sein mag, hängt die Effektivität von Malware – und vor allem von Banking-Trojanern – von einer starken regionalen oder sprachlichen Ausrichtung ab (Emotet ist ein treffendes Beispiel dafür: Ursprünglich in

Deutschland entdeckt, hat es sich in andere Länder verbreitet, da die Angreifer die Malware an lokale Sprachen angepasst haben).

Die meisten modernen Banking-Trojaner nutzen „“Web-Infizierungen““, mit deren Hilfe sie gefälschte Teile von Banking-Websites nachbauen, um Benutzerinformationen zu stehlen. Damit diese die geplante Wirkung haben, müssen sie sprachlich korrekt und überzeugend sein (also nur wenige oder keine offensichtlichen Rechtschreib- und Grammatikfehler aufweisen) und an die Websites der Banken angepasst sein.

Dieser Grad an Spezialisierung bedeutet, dass Angreifer eine Malware so ausgedehnt wie möglich in einer bestimmten Region nutzen, um ihren Return on Investment zu maximieren. Aus diesem Grund haben Banking-Trojaner – mehr als die meisten Arten von Malware – eine starke regionale Ausrichtung. Es ist offensichtlich, dass Cyberkriminelle immer noch Potenzial in der Emotet-Malware in Deutschland sehen.

Mehr zum Thema:

Aufgepasst bei falschen Telekom-Rechnungen

Kaspersky Lab präsentiert seine IT-Sicherheitsprognosen für das Jahr 2015

G Data mit Tool gegen Spionageprogramm Regin

Akamai: Weltweit verteilte Verteidigungslinien

Websense warnt vor mehr MITM-Angriffen

Kaspersky Lab: Spionage per Smartphone

F-Secure: Industriespionage per Trojaner

BT: Internet-Angriffe leichter identifizieren und visualisieren

LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Ulteo

Weitere Artikel zu E.E.P.D. GmbH Electronic Equipment Produktion & Distribution GmbH

Weitere Artikel zu EVERTEC

Matchmaker+