Eset hat eine Malware-Kampagne beobachtet, mit der die 2014 erstmals entdeckte und seither sporadische auftauchende Malware Shade erneut für Schadensfälle sorgt. Die Verbreitung erfolgt über Spam-Mails mit einem angehängten ZIP-Archiv. Die Erkennungsraten weisen Einbrüche an den Wochenenden aus – was für eine vor allem auf Unternehmen ausgerichtete Kampagne spricht. Die Kampagne begann schon im Oktober, legte zum Jahresende hin eine Pause ein und setzte im Januar mit doppeltem Volumen zu einem Neustart an.
„Eset-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren“, kommentiert Sicherheitsspezialist Thomas Uhlemann von Eset. „Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne.“.
Die Kampagne konzentriert sich vor allem auf den russischen Raum mit 52 Prozent der Erkennungen, schwappt aber laut Eset auch auf Deutschland über. Weitere betroffene Länder sind demnach die Ukraine, Frankreich und Japan. Die potentiellen Opfer erhalten Mails in russischer Sprache und geben vor, von legitimen russischen Unternehmen zu stammen und über eine Bestellung zu informieren. Absender scheinen etwa die russische Bank B&N oder die Handelskette Magnit zu sein.
Die Sicherheitsforscher ordnen die Kampagne als Teil eines übergeordneten Trends ein, mit dem schädliche JavaScript-Dateien als Angriffsvektor ein Comeback feiern. Die angehängten Archive mit Bezeichnungen wie „info.zip“ oder „inf.zip“ enthalten eine JavaScript-Datei. Deren Ausführung sorgt für das Herunterladen eines bösartigen Loaders von WordPress-Sites, die zuvor durch automatisierte Brute-Force-Attacken kompromittiert wurden. Dort verbirgt sich die Malware in Bilddateien, die alle auf „ssj.jpg“ enden – die Telemetrie von Eset fand Hunderte von ihnen.
Der Malware-Loader ist mit einem ungültigen und scheinbar von Comodo stammenden Zertifikat signiert. Um sich zu tarnen, kopiert er sich außerdem in einen versteckten Ordner und gibt sich als legitimer Windows-Systemprozess „csrss.exe“ aus – mit von Windows Server 2012 R2 kopierten Versionsdetails. Die letztendlich ausgeführte Ransomware Shade – auch als Troldesh bekannt – verschlüsselt eine Vielzahl von Dateitypen auf dem Laufwerk und versieht sie mit einer Endung wie „crypted000007“. Ein Erpressungsschreiben mit Instruktionen für ihre Opfer in Russisch und Englisch legen die Cyberkriminellen als Textdatei auf allen zugänglichen Laufwerken ab.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
