Wie zu erwarten war: Kriminelle nutzen die aktuelle Unsicherheit rund um das Coronavirus für Phishing-Angriffe aus. Das berichten die Cybersicherheitsforscher des US-amerikanischen Cybersecurity-Unternehmens Proofpoint.

Es handelt sich dabei laut Proofpoint um „eine der größten, wenn nicht sogar die größte E-Mail-Kampagne, die jemals unter einem einzigen Thema durchgeführt wurde“. Die Kampagne umfasse neue Angriffe zweier sehr aktiven Hacker-Gruppen, die Proofpoint als TA505 und TA564 bezeichnet (TA: Threat Actor).

„Seit mehr als fünf Wochen hat unser Threat-Research-Team zahlreiche gefährliche E-Mail-Kampagnen mit Bezug zu COVID-19 beobachtet“, berichtet Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint. „Viele der Kampagnen setzen dabei auf den Faktor ‚Angst‘, um potenzielle Opfer zum Klicken zu bewegen.“

Die Angreiferseite versende die Schad-Mails in Wellen – diese reichten von einem Dutzend Empfänger bis zu mehr als 200.000 Adressaten auf einmal. „Darüber hinaus verzeichnen wir immer noch steigende Kampagnenzahlen“, so DeGrippo. „Ursprünglich konnten wir weltweit etwa eine Kampagne pro Tag beobachten, jetzt stellen wir drei bis vier täglich fest.“ Dies zeige, wie attraktiv globale Nachrichten für Cyberkriminelle sein können.

Der Security-Experte warnt deshalb vor „Social Engineering in großem Maßstab“: „Die Kriminellen wissen, dass die Menschen nach Informationen suchen, die ihnen Sicherheit vermitteln. Daher sind die Menschen eher geneigt, auf potenziell gefährliche Links zu klicken oder Anhänge herunterzuladen.“

Etwa 70 Prozent der aufgedeckten E-Mails liefern laut Proofpoint-Angaben Malware, weitere 30 Prozent zielen darauf ab, an die Zugangsdaten des Opfers zu gelangen. „Die meisten dieser E-Mails versuchen, Zugangsdaten zu stehlen, indem sie gefälschte Landing Pages nutzen, die Gmail oder Office 365 imitieren, und die Benutzer auffordern, ihren Benutzernamen und ihr Passwort einzugeben“, erläutert DeGrippo.

Zu den Angriffsformen zählt laut Proofpoint „nahezu alles, was sowohl privaten Anwendern als auch Unternehmen in irgendeiner Form schaden kann“: Phishing nach Zugangsdaten, Dateianhänge mit Malware, Links zu infizierten Websites, betrügerische Geschäfts-E-Mails (Business E-Mail Compromise, auch CEO-Betrug genannt), dazu gefälschte Landing Pages, Downloader und Spam-Mails.

Erstmals sei eine bisher unbekannte Malware namens RedLine Stealer aufgetaucht, so Proofpoint. Die Phishing-Mail appelliere dabei an die Bereitschaft der Menschen, durch ein verteiltes Computerprojekt zur Erforschung von Krankheiten ein Heilmittel für COVID-19 zu finden. RedLine Stealer sei in russischen Untergrundforen ab 100 Dollar erhältlich und kürzlich aktualisiert worden, um Kryptowährung zu stehlen, das sich in Offline-Wallets (Cold Wallets) befindet.

Die Malware RedLine Stealer appelliert an die Bereitschaft der Menschen, durch ein verteiltes Computerprojekt ein Heilmittel für COVID-19 zu finden. Bild: Proofpoint

Des Weiteren sei man auf E-Mails gestoßen, die sich an „Eltern und Erziehungsberechtigte“ richten und die Malware Ursnif enthalten. Diese stiehlt Informationen wie Bankdaten. Die Angreiferseite nutze den echten Namen des Empfängers, um glaubwürdiger zu erscheinen. Außerdem warnt Proofpoint vor E-Mails, die sich an Organisationen aus dem Gesundheitswesen richten und Gegenmittel gegen das Coronavirus im Austausch gegen Bitcoin anbieten.

Weitere Informationen finden sich unter www.proofpoint.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.