Carbanak: Cyberkriminelle nutzen Google-Dienste

Die Carbanak-Gruppe, die zuvor durch erfolgreiche Malware-Angriffe auf Banken in die Schlagzeilen kam, fällt erneut durch ihre trickreichen Methoden auf. Wie die Sicherheitsfirma Forcepoint herausfand, nutzen die Cyberkriminellen vielfach genutzte und unverdächtige Google-Dienste, um ihre Attacken zu verschleiern und eine Entdeckung zu vermeiden.

Darauf stießen die Sicherheitsforscher, als sie ein trojanisiertes RTF-Dokument untersuchten. Es enthielt ein verschlüsseltes Visual Basic Script (VBScript, eine von Microsoft entwickelte Skriptsprache), das typische Merkmale früherer Carbanak-Malware aufwies. Neu ist aber, dass aktuelle Malware-Muster die Fähigkeit aufweisen, Google-Services für die Kommando- und Kontroll-Kommunikation (Command and Control, C&C) zu nutzen. Forcepoint informierte inzwischen Google über den Missbrauch seiner Dienste und will weitere Informationen mit dem Internetkonzern teilen.

Die offenbar seit 2013 aktive „Carbanak Cybergang“ erhielt ihren Namen aufgrund der gleichnamigen Malware. Sie ist darauf spezialisiert, Banken zu berauben, indem sie sich über kompromittierte Computersysteme der Finanzinstitute Zugriff auf Geldautomaten verschafft. Kaspersky schätzte Anfang 2015, dass die Cyberkriminellen bis dahin bei mehr als 100 Banken in 30 Ländern insgesamt mindestens 300 Millionen Dollar erbeuten konnten – und möglicherweise sogar das Dreifache.

Kaspersky-Manager Chris Doggett sah hinsichtlich der eingesetzten Taktiken und Methoden schon damals den „wahrscheinlich ausgeklügelsten Angriff, den die Welt je gesehen hat“. Die Hacker verschickten manipulierte E-Mails an Mitarbeiter der Banken, die in einigen Fällen offenbar auf enthaltene Links klickten und sich damit unwissentlich Schadsoftware einfingen, die eine Hintertür einrichtete. Sobald sie Zugang zum Computersystem eines Geldinstituts bekamen, machten die Hacker die für die Geldautomaten zuständigen Mitarbeiter ausfindig und installierten auf ihren Rechnern Tools, um Screenshots oder Videos ihrer Bildschirme aufzuzeichnen. Dadurch waren sie in der Lage, Geld an eigene Konten zu überweisen oder aus der Ferne Geldautomaten zu veranlassen, zu einem bestimmten Zeitpunkt Geld auszugeben.

Ein unvorsichtiger Klick kann eine Infektionskette auslösen (Bild: Forcepoint)

Mit der jetzt entdeckten VBScript-Malware griffen die Carbanak-Hacker erneut in die Trickkiste und setzten Googles Services als zunächst unverdächtigen C&C-Kanal ein. Das Script „ggldr“ kommuniziert mit den Google-Diensten Apps Script, Google Forms und Google Tabellen, um von dort weitere Befehle zu erhalten. Für jeden infizierten Nutzer wird dabei dynamisch eine eigene Google-Tabelle geschaffen, um das Opfer zu verwalten. Anfragen nach einer Google-Apps-Script-URL dienen außerdem dazu, eine eindeutige Google-Form-ID für das Opfer zu generieren.

Den Angreifern geht es mit der Nutzung verbreiteter und legitimer Services darum, dass ihre Aktivitäten weniger verdächtig aussehen und sie eine Entdeckung eher vermeiden können. „Es ist unwahrscheinlich, dass diese gehosteten Google-Services in einer Organisation standardmäßig blockiert werden“, erklärten die Forcepoint-Forscher. „Daher ist es wahrscheinlicher, dass der Angreifer erfolgreich einen C&C-Kanal einrichten kann.“ Dafür Googles öffentliche Angebote zu nutzen, biete bessere Erfolgschancen als etwa neu geschaffene Domains oder Domains ohne Reputation.

Forcepoint rechnet damit, dass die Carbanak-Hintermänner weiter nach trickreichen Methoden suchen, um sich zu tarnen. Die Sicherheitsforscher wollen die Aktivitäten der Gruppe weiter beobachten und ihre Erkenntnisse mit Partnerfirmen teilen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

24 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago