Sicherheitsforscher von M86Security haben den Verdacht geäußert, dass jüngste Malware-Kampagnen mit HTML-Anhängen von E-Mails auf eine Wiederbelebung des Botnetzes Cutwail zurückzuführen sind. In ihren Sensornetzwerken registrierten sie drei Wellen, die vermutlich auf diese Quelle zurückgehen.
Die Kampagnen heißen nach dem Betreff der jeweiligen Mail „FDIC – Suspended bank account“, „End of August Statement“ und „Xerox Scan“. Es handelt sich um eine Kombination aus unerwünschter Werbung und Malware-Installation: Startet der Nutzer die angehängte HTML-Seite im Browser, wird er per Javascript auf eine URL der Kriminellen verwiesen, die ihm clientseitigen Schadcode unterschiebt, wenn seine Software nicht auf dem neuesten Stand ist und die genutzte Lücke noch enthält.
Die Schadprogramme basieren derzeit auf dem Malware Exploitation Kit Phoenix – einer Art Baukasten für Kriminelle. Um es zu nutzen, ist lediglich ein Webserver mit PHP nötig. Die Software wird kommerziell über das Internet vertrieben.
Die Forscher hatten sich Zugang zur Oberfläche einer Installation dieses Exploit Kit verschafft und bemerkt, dass die Mehrheit der verweisenden URLs nicht die anderer Websites waren, sondern solche von Unternehmensanwendern, die das HTML-Attachment geöffnet hatten und die Malware auf ihren PC luden.
M86Security rät Endanwendern das Übliche: Sie sollten keine Anhänge unerwarteter Mails öffnen und ihre Software auf dem neuesten Stand halten. Dies gilt besonders für Browser und ihre Plug-ins.
Cutwail geistert schon länger durch das Internet: Zu seiner Glanzzeit im Mai 2009 war es für 35 Prozent der weltweit verschickten Spam-Mails verantwortlich.
Das Botnetze wiederkommen können, solange auf irgendeinem Rechner eine Kopie ihres Schadcodes ruht, zeigt auch ein anderer Fall: Das vergangenen September auf Initiative von Microsoft geschlossene Botnetzt Kelihos ist seit Anfang Februar erneut aktiv. Wie Maria Gernaeva vom Sicherheitsunternehmen Kaspersky in einem Blogeintrag schreibt, wurde schon kurz nach der Schließung am 28. September eine neue Variante entdeckt, die dem Original sehr ähnlich ist.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…