Malware-Autoren bevorzugen in ihren Kampagnen in der Regel bestimmte Arten von Dateianhängen, um schädliche Inhalte zu verbreiten. Während der routinemäßigen Überwachung der Bedrohungslandschaft stellte F-Secure in den letzten drei Monaten einige interessante Muster fest zu den in verschiedenen Kampagnen verwendeten, angehängten Dateitypen.
Im Februar und März dieses Jahres beobachtete das Lab riesige Spam-Kampagnen, in denen ZIP-Dateien zum Versenden von GandCrab-Ransomware und DOC- und XLSM-Dateien zum Verteilen von Trickbot-Banking-Trojanern verwendet wurden. Im selben Zeitraum gab es eine ähnlich große Kampagne für American Express und einen „Gewinner“-Betrug, die beide PDFs als Dateianhänge verwendeten.
Aktuell gibt es auch einen neuen Trend bei der Verbreitung von Malware in Form von Disc-Image-Dateien (ISO und IMG). Einige kleine Kampagnen vertreiben so den AgentTesla InfoStealer und NanoCore RAT.
Aufgezeichnete Spam-Feeds zeigen, dass Malware-Autoren eine Vielzahl von Dateitypen als Anhang verwenden, um Hintergrundinformationen oder Kontextinformationen bereitzustellen:
Betrachtet man die Feeds jedoch als Zeitdiagramm, wird deutlich, dass ZIP-, PDF- und MS-Office-Dateien, wie DOC- und XLSM-Dateianhänge, häufiger in umfangreichen Spam-Kampagnen verwendet wurden.
ZIP-Dateien beinhalten meist GandCrab Ransomware
Im Februar und März registrierte F-Secure besonders große Spam-Kampagnen mit ZIP-Dateien, in denen sich GandCrab-Ransomware versteckte. Die Dateien wurden in Sachen Dateinamen so getarnt, dass sie aussehen, als würden nur harmlose Fotos verschickt.
Die ZIP-Datei enthält allerdings einen versteckten JavaScript-Downloader, der ein PowerShell-Skript ausführt, mit dem dann im zweiten Schritt die GandCrab-Ransomware-Binärdatei heruntergeladen und ausgeführt wird.
Nachdem das eigentliche Schädlingsprogramm (Payload) erfolgreich heruntergeladen und ausgeführt wurde, verschlüsselt sie den Computer des Opfers und zeigt folgende Ransomware-Notiz an:
In DOC- und XLSM-Dateien versteckt sich meist Trickbot
Im März beobachtete F-Secure massive Spitzen bei Spam-Kampagnen, bei denen DOC- und XLSM-Dateien zur Auslieferung der Malware Trickbot verwendet wurden – einem modularen Banktrojaner. Allerdings wurde Trickbot in den neuen Versionen aufgerüstet und stiehlt nun beispielsweise auch Passwörter und mehr.
Die oben gezeigten Dateianhänge im Office-Format enthalten ein böswilliges Makro, das die Angriffsdateien mit dem BITSAdmin-Tool herunterlädt und ausführt.
Nach erfolgreichem Download und Ausführung startet Trickbot, wie im Beispiel, die Ausführung und erstellt Module auf dem PC des Opfers:
Gezielte Phishing-Angriffe mit PDF-Dateien auf American-Express-Kunden
Die Grafik mit den registrierten Attacken zeigt bei der höchsten Spitze einen Angriff, bei dem PDFs als verseuchter Anhang genutzt wurden. Diese im März ausgeführte Phishing-Kampagne zielte speziell auf Kunden von American Express.
Sobald die PDF-Datei geöffnet wird, sieht der Nutzer eine Nachricht mit einem Link. Die Nachricht stammt laut Beschreibung von einem Kundensicherheitsteam der American Express Business Card und soll zu einer „sicheren Nachricht“ führen.
Der als verkürzte URL dargestellte Link führt das Opfer zu einer gefälschten Webseite bei GoDaddy. Das ist ein beliebter Trick, der auch bei vielen anderen Phishing-Kampagnen genutzt wird, um an die Bank-Login-Daten der Nutzer zu gelangen. Das untere Beispiel zeigt eine ähnliche Kampagne, die auch eine verkürzte URL als Phishing-Link verwendet, bei der die gefälschte Webseite auf die Nutzer der Bank of America abzielt.
Betrugsversuche per PDF mit der „Google-Gewinner“-Lüge
Die am zweitstärksten registrierte Betrugs-Kampagne, bei der ein PDF-Dateianhang verwendet wurde, ist ein „Gewinner“ -Betrug mit Google als vermeintlichem Absender:
Das Fake-Gewinnerschreiben fordert das Opfer auf, personenbezogene Daten anzugeben, wie vollständigen Namen, Adresse, Land, Nationalität, Telefonnummer, Handynummer, Beruf, Alter, Geschlecht und private E-Mail-Adresse.
Neue Spieler: ISO- und IMG-Dateien mit AgentTesla und NanoCore RAT
ISO- und IMG-Dateien, bekannt als Image-Dateien von CDs und DVDs, sind bei Spam-Kampagnen noch nicht als verwendete Dateitypen in der Spitzengruppe zu finden. Allerdings registriert F-Secure seit Juli 2018 einen gewissen Trend beim Einsatz dieser Dateitypen als Malware-Transportmittel. Bei den meisten bekannten Kampagnen wurden die Angreifer AgentTesla InfoStealer und NanoCore RAT eingesetzt.
In einer erst vor kurzem aufgespürten Spam-Kampagne hat das Lab zwei Arten von Anhängen gesichtet: ein böswilliges Office-Dokument und eine ISO-Image-Datei – beide installieren einen AgentTesla-Infostealer.
Das böswillige Dokument führt nach dem Öffnen ein Makro aus, um die eigentlich schädlichen Komponenten herunterzuladen und auszuführen.
Während die ISO-Datei die schädliche Binärdatei enthält.
Unabhängig davon, welchen der beiden angehängten Dateitypen ein Opfer öffnet, es wird immer die Schad-Software AgentTesla installiert. Das ist ein Infostealer, der in der Lage ist, die System- und Anmeldeinformationen des Opfers von gängiger, installierter Software wie Browsern, E-Mail-Clients und FTP-Clients zu erfassen und zu übertragen.
F-Secure-Kunden sind auch vor dieser Attacke geschützt, da alle diese Bedrohungen bereits in einem frühen Stadium des Angriffs durch DeepGuard erkannt und blockiert werden.
________________________________________
IoCs: Indicators of Compromise (SHA1s)
Gandcrab:
453aae9a28215baa6539b742cd8e7988ba42f634
fa8256e84c3acab5910dd7ed74ed20444b6ca7dd
Trickbot:
93a16e6a0dfddb45c400972fa11ec982d3a71bde
1fb3f3a5809c7381f623614a07cb9d0b89dac186
American Express Phishing:
3d56dc0327abd0c7aaf88e05bb5ebbba2532c925
c3ddf69377d1272be225d28a45c8d2d19bf14013
Google Scam:
7794a5575337d382f0c9ee3de896782224dfc9d5
AgentTesla:
260db46772422a896b90268ed4390e91cbacdf72
1a2f0e36a136310a32aeec935bd5a0bfd4b4bb47
Kategorien