E-Mail-Angriffe mit Corona-Thematik nehmen weltweit zu
Die ganze Welt redet über den Coronavirus. Nun machen sich immer mehr Cyberkriminelle die Unsicherheit und die Aufregung zunutze: Eine neue Untersuchung von F-Secures Tactical Defense Unit zeigt, dass sich E-Mail- und Spam-Attacken mit Corona-Bezug immer weiter Richtung Westen verbreiten.
Cyberkriminelle und viele andere Angreifer suchen ständig neue Wege, aktuelle gesellschaftliche Entwicklungen und News-Themen für ihre Zwecke auszunutzen. Durch die Auswahl aktueller Aufhänger, die mit den Sorgen und dem Informationsdrang der Nutzer spielen, können sie diese ganz einfach zu einem Klick auf einen schadhaften Link oder zum Herunterladen und Ausführen eines bösartigen E-Mail-Anhangs bewegen.
Während weltweit Menschen ihre öffentlichen Aktivitäten in der Hoffnung nach Hause verlagern, damit der schnellen Ausbreitung des Coronavirus entgegenzusteuern, fahren Spammer und Phisher ihre Geschütze auf. Ihr Ziel: Den Bedarf an Informationen über die sich weiter ausbreitende Pandemie möglichst gewinnbringend ausnutzen.
F-Secure beobachtet zunehmend mehr Angriffe mit Coronavirus-Thematik in der Öffentlichkeit. Im Folgenden werden einige aktuelle Herangehensweisen der Angreifer skizziert, um zum Beispiel Menschen im Home-Office aufzuzeigen, wie sie solche Attacken in Zukunft besser erkennen können.
Malspam Kampagnen
Die Tactical Defense Unit von F-Secure beobachtet digitale Coronavirus-Kampagnen bereits seit Januar. Gemeinsam mit dem Virus haben sich die Angriffskampagnen seither in immer neue Regionen ausgebreitet. Karmina Aquino, Leiterin der Unit, stellte in den Spam-Mails der Angreifer immer wieder Inhalte aus aktuellen News und offiziellen Empfehlungen fest.
Die ersten beobachteten Kampagnen zielten dabei auf japanische Verbraucher ab. Seitdem verlagerten sich die Angriffe zunehmend nach Westen. Die in der nachfolgenden Zeitleiste aufgeführten Beispiele zeigen, inwieweit die Inhalte der Spam-Nachrichten die reale Entwicklung des Virus spiegeln. Mitunter traten diese innerhalb von nur 24 Stunden nach Erscheinen der offiziellen Nachrichtenmeldungen auf.
„Obwohl diese opportunistische Herangehensweise für Bedrohungsakteure nichts Neues ist, so ist es doch beachtlich, dass sich das Corona-Thema so schnell und weitreichend in verschiedenen Spam-Spielarten verbreitet hat“, so F-Secure-Forscherin Maria Patricia Revilla Dacuno. „Besonders spannend ist hierbei die Nutzung von Neuigkeiten oder Informationen für die Öffentlichkeit als Ausgangsmaterial. Dadurch wird den Nutzern fälschlicherweise eine gewisse Glaubwürdigkeit der Mails suggeriert.“
Im Rahmen dieser Kampagnen kam unter anderem folgende Malware zum Einsatz:
- Emotet und Trickbot – modulare Bedrohungen, die unterschiedliche Payloads an verschiedene Ziele liefern. Emotet war ursprünglich ein Banking-Trojaner, der um neue Funktionen wie Infostealing und Malware-Übertragung aktualisiert und aufgerüstet wurde. Er ist für den Einsatz von Trickbots bekannt, die anschließend wiederum Ryuk-Ransomware installieren.
- Agent Tesla – ein Infostealer, der über Keylogging-Funktionen zum Diebstahl von E-Mail-Zugangsdaten und Passwörtern aus Browser-Programmen verfügt.
- Formbook – ein Infostealer, der sensible Daten wie beispielsweise Passwörter und Zugangsdaten aus den Browsern der Anwender sammelt.
- Lokibot – ein Infostealer, der E-Mail-Zugangsdaten und Passwörter von Browsern, FTP-Clients und CryptoCoin-Wallets sammelt.
- Remcos RAT – ein Fernzugriffstool, das es Angreifern ermöglicht, das System der Nutzer aus der Ferne zu steuern und Befehle auszuführen.
Im Folgenden werden die häufigsten E-Mail-Betreffzeilen für Spam mit Coronavirus-Themen aufgeführt:
Schutzmasken-Spam
Neben den mit Malware infizierten „News“-Mails konnte F-Secure eine beträchtliche Menge an Spam beobachten, der sich die aktuelle Knappheit von Atemschutzmasken zunutze macht. Diese E-Mails verleiten die Nutzer zum Kauf vermeintlich vorrätiger Mundschutzmasken. Ein anschließender Versand findet nicht statt.
„Es scheint so einfach, aber am Ende ist genau das ein gutes Beispiel für Social Engineering. Viele stehen bereits unter Stress, da sie sich schnellstmöglich auf den sich weiter ausbreitenden Virus vorbereiten wollen. Da kommt eine solche Mail natürlich genau richtig, indem sie suggeriert, dass die einfachste Lösung nur einen Klick entfernt liegt“, erklärt Maria Patricia Revilla Dacuno.
Das sind die häufigsten Betreffzeilen für Spam-Betrug mit Atemschutzmasken:
Und das sind die häufigsten Betreffzeilen für Spam-Betrug im Zusammenhang mit dem Coronavirus:
Erfolgreiche Cybersecurity benötigt mehr, als ein waches Auge für Spam
Es gibt nicht nur schlechte Nachrichten, zumindest wenn es um die Cybersicherheit geht: Spam-Mails sind für Sicherheitssoftware nichts Neues. Unter all den beobachteten Mails sind bisher keine neuen Kill-Chain-Methoden oder Malware-Typen aufgetreten. Mit Verweisen auf die aktuelle Coronavirus-Pandemie möchten Angreifer ausschließlich eine höhere Klickrate für bereits laufende Bedrohungskampagnen erreichen. Solange die Nutzer also besonnen handeln und vor dem Klick die nötige Vorsicht walten lassen, stellt Spam ein überschaubares Problem dar.
Zahlreiche Unternehmen reagieren auf die Krise, indem sie ihre Mitarbeiter bitten, aus dem Home-Office zu arbeiten. Für manche Betriebe und Mitarbeiter ist dies jedoch noch immer ein unbekanntes Terrain.
Die entsprechenden Unternehmen sollten daher sicherstellen, dass sichere Fernzugriffstechnologien wie VPN vorhanden und richtig konfiguriert sind – einschließlich der Verwendung von Zwei-Faktor-Mechanismen –, damit für die Mitarbeiter zu Hause eine genauso sichere Arbeitsumgebung wie im Betrieb gewährleistet ist. Außerdem ist es wichtig, dass Firmen ihre Mitarbeiter dazu anhalten, den Einsatz nicht autorisierter persönlicher Geräte während der Arbeit zu vermeiden, da diese nur selten auf mögliche Sicherheitslücken hin untersucht werden.
Kategorien