Carbanak: Cyberkriminelle nutzen Google-Dienste

Die Carbanak-Gruppe, die zuvor durch erfolgreiche Malware-Angriffe auf Banken in die Schlagzeilen kam, fällt erneut durch ihre trickreichen Methoden auf. Wie die Sicherheitsfirma Forcepoint herausfand, nutzen die Cyberkriminellen vielfach genutzte und unverdächtige Google-Dienste, um ihre Attacken zu verschleiern und eine Entdeckung zu vermeiden.

Darauf stießen die Sicherheitsforscher, als sie ein trojanisiertes RTF-Dokument untersuchten. Es enthielt ein verschlüsseltes Visual Basic Script (VBScript, eine von Microsoft entwickelte Skriptsprache), das typische Merkmale früherer Carbanak-Malware aufwies. Neu ist aber, dass aktuelle Malware-Muster die Fähigkeit aufweisen, Google-Services für die Kommando- und Kontroll-Kommunikation (Command and Control, C&C) zu nutzen. Forcepoint informierte inzwischen Google über den Missbrauch seiner Dienste und will weitere Informationen mit dem Internetkonzern teilen.

Die offenbar seit 2013 aktive „Carbanak Cybergang“ erhielt ihren Namen aufgrund der gleichnamigen Malware. Sie ist darauf spezialisiert, Banken zu berauben, indem sie sich über kompromittierte Computersysteme der Finanzinstitute Zugriff auf Geldautomaten verschafft. Kaspersky schätzte Anfang 2015, dass die Cyberkriminellen bis dahin bei mehr als 100 Banken in 30 Ländern insgesamt mindestens 300 Millionen Dollar erbeuten konnten – und möglicherweise sogar das Dreifache.

Kaspersky-Manager Chris Doggett sah hinsichtlich der eingesetzten Taktiken und Methoden schon damals den „wahrscheinlich ausgeklügelsten Angriff, den die Welt je gesehen hat“. Die Hacker verschickten manipulierte E-Mails an Mitarbeiter der Banken, die in einigen Fällen offenbar auf enthaltene Links klickten und sich damit unwissentlich Schadsoftware einfingen, die eine Hintertür einrichtete. Sobald sie Zugang zum Computersystem eines Geldinstituts bekamen, machten die Hacker die für die Geldautomaten zuständigen Mitarbeiter ausfindig und installierten auf ihren Rechnern Tools, um Screenshots oder Videos ihrer Bildschirme aufzuzeichnen. Dadurch waren sie in der Lage, Geld an eigene Konten zu überweisen oder aus der Ferne Geldautomaten zu veranlassen, zu einem bestimmten Zeitpunkt Geld auszugeben.

Ein unvorsichtiger Klick kann eine Infektionskette auslösen (Bild: Forcepoint)

Mit der jetzt entdeckten VBScript-Malware griffen die Carbanak-Hacker erneut in die Trickkiste und setzten Googles Services als zunächst unverdächtigen C&C-Kanal ein. Das Script „ggldr“ kommuniziert mit den Google-Diensten Apps Script, Google Forms und Google Tabellen, um von dort weitere Befehle zu erhalten. Für jeden infizierten Nutzer wird dabei dynamisch eine eigene Google-Tabelle geschaffen, um das Opfer zu verwalten. Anfragen nach einer Google-Apps-Script-URL dienen außerdem dazu, eine eindeutige Google-Form-ID für das Opfer zu generieren.

Den Angreifern geht es mit der Nutzung verbreiteter und legitimer Services darum, dass ihre Aktivitäten weniger verdächtig aussehen und sie eine Entdeckung eher vermeiden können. „Es ist unwahrscheinlich, dass diese gehosteten Google-Services in einer Organisation standardmäßig blockiert werden“, erklärten die Forcepoint-Forscher. „Daher ist es wahrscheinlicher, dass der Angreifer erfolgreich einen C&C-Kanal einrichten kann.“ Dafür Googles öffentliche Angebote zu nutzen, biete bessere Erfolgschancen als etwa neu geschaffene Domains oder Domains ohne Reputation.

Forcepoint rechnet damit, dass die Carbanak-Hintermänner weiter nach trickreichen Methoden suchen, um sich zu tarnen. Die Sicherheitsforscher wollen die Aktivitäten der Gruppe weiter beobachten und ihre Erkenntnisse mit Partnerfirmen teilen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago