Microsoft Security Intelligence hat Informationen über mehrere bösartige Spam-Kampagnen (Malspam) gesammelt und teilt diese Erkenntnisse in einer Reihe von Tweets mit der Öffentlichkeit. Eine dieser Kampagnen, die letzte Woche entdeckt wurde, verwendet COVID-19-Köder (E-Mail-Betreffzeilen), um Benutzer dazu zu verleiten, ISO- oder IMG-Dateianhänge herunterzuladen und auszuführen. Diese Dateien sind mit einer Version des Remcos-Fernzugriffstrojaners (RAT) infiziert, der Angreifern die volle Kontrolle über die infizierten Hosts gibt.
Laut Microsoft haben die hartnäckigen Angreifer mehrere verschiedene Spam-Läufe gestartet, die auf Unternehmen in verschiedenen Branchen und in mehreren Ländern der Welt abzielen:
Eine Remcos-Kampagne, die sich gegen kleinere US-Unternehmen richtet, die nach Katastrophen-Krediten suchen. In diesem Fall erhielten Unternehmen E-Mails, die vortäuschten, von der US Small Business Administration (SBA) zu stammen. Diese enthielten einen bösartigen IMG-Anhang (Disk-Image). Die IMG-Datei enthielt eine ausführbare Datei, die ein irreführendes PDF-Symbol verwendet. Wenn die ausführbare Datei ausgeführt wird, installiert sie die Remcos RAT.
Eine andere Kampagne richtet sich an Fertigungsunternehmen in Südkorea. Die Angreifer schickten den Zielorganisationen eine E-Mail, die sich als das Health Alert Network (HAN) der CDC ausgab und bösartige ISO-Dateianhänge enthielt. Die ISO-Datei enthielt eine bösartige SCR-Datei, die Remcos installierte.
Eine andere Remcos-Kampagne richtete sich an Buchhalter in den USA, wobei die E-Mails angeblich „COVID-19-bezogene Aktualisierungen“ für Mitglieder des American Institute of CPAs enthielten. Bei dem Anhang handelte es sich um ein ZIP-Archiv mit der ISO + SCR-Kombination, die in der südkoreanischen Kampagne gesehen wurde.
Das Endziel dieser Operation ist derzeit unbekannt. Die Hacker könnten jedoch versuchen, Unternehmen für künftige Angriffe wie Lösegeldforderungen, BEC-Betrügereien oder Wirtschaftsspionage ausfindig zu machen.
„Diese Aktivitäten haben unsere Aufmerksamkeit erregt wegen der COVID-19-Köder und auch wegen der leicht unterschiedlichen Techniken, die wir gefunden haben, und der Art der Anhänge, die sie senden“, sagte Tanmay Ganacharya, Direktor für Sicherheitsforschung bei Microsoft Threat Protection, in einem Interview mit ZDNet.com. „Sie verwenden Image-Dateien und ISO-Dateien, was nicht sehr verbreitet ist. Es ist nicht so, dass wir es zum ersten Mal sehen, aber es ist auch nicht so, dass Angreifer dies extrem häufig tun.“
Diese anhaltenden Angriffe wurden aufgedeckt, nachdem Microsoft verdächtiges Verhalten in allen Defender-Installationen festgestellt hatte. Unternehmen, die diese Art von E-Mail-Anhängen erhalten, wird dringend davon abgeraten, die angehängten Dateien zu öffnen.
Ganacharya gibt Microsofts Maschinelles Lernen als Grund dafür an, dass das Unternehmen diese Kampagne überhaupt erst entdeckt hatte. Das früher belächelte Microsoft-Antivirenprodukt hat sich inzwischen zu einem leistungsfähigen Werkzeug zur Erkennung von Malware auf der Grundlage von Dateisignaturen entwickelt.
Ganacharya sagt, dass Malware-Polymorphismus (Malware, die in regelmäßigen Abständen mutiert) und dateifreie Malware (Malware, die ausschließlich im RAM läuft, ohne Spuren auf der Festplatte zu hinterlassen) heute weit verbreitet sind. Dies führt dazu, dass die Hersteller von Antivirenprogrammen immer einen Schritt hinter den meisten Malware-Operationen zurückbleiben, wenn sich das Antivirenprogramm ausschließlich darauf verlässt, das Vorhandensein einer bekannten Malware zu erkennen. Stattdessen stützt sich Microsoft Defender jetzt auf maschinelles Lernen, um verdächtiges Verhalten auf einem Host zu erkennen und Warnmeldungen für seine Ingenieure zu erstellen, die diese untersuchen sollen.
„Die Bedrohungslandschaft hat sich mit dateilosen Angriffen mit Polymorphismus stark verändert. Bei über 96 Prozent der Bedrohungen, die wir weltweit sehen, handelt es sich um eine einzigartige Datei pro Rechner“, so Ganacharya.
Bei all dem sind die Machine-Learning-Modelle von Defender jetzt die Hauptwaffe des Unternehmens gegen unbekannte Malware-Angriffe und Bedrohungsakteure und helfen Microsoft, Angriffe zum frühestmöglichen Zeitpunkt zu erkennen.
„Wir haben ziemlich viel investiert, den Defender mit Techniken zu erweitern, um die Erfassung von Verhaltensabläufen, die Erfassung des Inhalts der Datei selbst, die Client-seitige Machine Learning Model Engine und die Cloud-Side Machine Learning Model Engine zu verbessern. Bei den unbekannten Bedrohungen, bei den neuen und aufkommenden Bedrohungen verlassen wir uns also stark, sehr stark darauf, dass das maschinelle Lernen entweder eine Klassifizierung der Inhalte oder eine Klassifizierung der Verhaltensfolgen vornimmt.“
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…