Categories: SicherheitVirus

Cisco analysiert personalisierte Phishing-Angriffe auf besonders einträgliche Branchen

Cisco hat gezielte Phishing-Versuche entdeckt und analysiert, die sich auf besonders einträgliche Branchen konzentrieren. Zu ihnen zählten beispielsweise Banken, die Ölindustrie, TV-Sender und der Schmuckhandel. In seinem Sicherheitsblog Cisco Threat Spotlight berichtet es über die aufgedeckten Methoden und Ziele.

Die Angriffsversuche hinterließen vielfältige Spuren, die eine Analyse durch Ciscos Vulnerability Research Team (VRT) ermöglichten. Sie kombinierten extrem gezieltes Phishing (Spearphishing) mit Exploit-Versuchen, die von gängigen Antiviren-Lösungen meist nicht erkannt worden seien. Die Phishing-Mails waren eigens für den jeweiligen Empfänger geschrieben und gaben vor, im Anhang eine Rechnung, eine Bestellung oder eine Quittung im Microsoft-Word-Format zu enthalten.

Die unbekannten Angreifer versuchten, ein Feature in der Skriptsprache Visual Basic for Applications (VBA) zu nutzen, mit der sich Abläufe in Microsoft Office steuern lassen. Wenn das angepeilte Opfer das Word-Dokument öffnete, konnte das zum Download einer ausführbaren Datei und ihrem Start auf seinem Rechner führen.

Die Malware stand unter anderem beim Onlinespeicherdienst Dropbox zum Download bereit. Die Kommando- und Kontrollserver verbargen sich offenbar hinter den Domains Londonpaerl.co.uk und Selombiznet.in. Dabei fiel auf, dass Londonpaerl.co.uk eigentlich eine Tippfehler-Domain ist und dazu gedacht, versehentliche Besucher von Londonpearl.co.uk anzulocken, einem internationalen Vertrieb von Zuchtperlen und daraus gefertigtem Schmuck. Die Website mit der ähnlich geschriebenen Domain gibt sich jedoch als Arbeitsvermittlung aus und betreibt ihre undurchsichtigen Geschäfte seit mindestens 2007.

Wie Cisco berichtet, konnte es allein am 25. Juni fünf von Londonpaerl.co.uk ausgehende Backdoor-Komponenten blockieren. Diese Angriffe hätten sich innerhalb von 90 Minuten gegen einen einzigen Kunden von Ciscos Sicherheitssparte gerichtet, einen industriellen Herstellungsbetrieb.

„Während der Untersuchung identifizierten wir verschiedene Kampagnen, die offenbar dem gleichen Angreifer zuzuschreiben und mit unterschiedlichster Malware verbunden sind“, heißt es in dem Blogeintrag weiter. „Bei vielen der Domains scheint er zwischenzeitlich eine Nutzungspause einzulegen, vermutlich wegen früherer bösartiger Aktivitäten. Tatsächlich änderte der Angreifer einige Domain-Informationen im Laufe der Untersuchungen mehrmals.“

[mit Material von Natalie Gagliordi, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

19 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

23 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

24 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago