Microsoft warnt vor Banking-Trojanern

Microsoft warnt Unternehmen vor Cyber-Kriminellen, die Kontaktformulare auf Firmen-Websites nutzen, um den IcedID-Bank-Trojaner in E-Mails mit Google-URLs an Mitarbeiter zu versenden. Kontaktformulare auf Unternehmenswebsites sind ein offenes Tor im Internet, und Kriminelle nutzen sie seit kurzem, um Mitarbeiter zu erreichen, die Kontaktanfragen aus der Öffentlichkeit erhalten. Ein bemerkenswertes Merkmal des Angriffs ist, dass die Gauner die Kontaktformulare nutzen, um den Mitarbeitern legitime Google-URLs zu senden, die die Anwender auffordern, sich mit ihrem Google-Benutzernamen und -Passwort anzumelden.

Microsoft hielt die Bedrohung für ernst genug, um die Angriffe an die Sicherheitsteams von Google zu melden und sie zu warnen, dass Cyber-Kriminelle legitime Google-URLs verwenden, um Malware auszuliefern. Die Google-URLs sind für die Angreifer nützlich, weil sie die E-Mail-Sicherheitsfilter umgehen. Die Angreifer scheinen auch CAPTCHA-Herausforderungen umgangen zu haben, mit denen geprüft wird, ob die Kontakteingabe von einem Menschen stammt.

„Die Angreifer missbrauchen legitime Infrastrukturen, wie z. B. Kontaktformulare von Websites, um Schutzmaßnahmen zu umgehen, wodurch diese Bedrohung sehr ausweichend ist. Darüber hinaus verwenden die Angreifer legitime URLs, in diesem Fall Google-URLs, die die Zielpersonen auffordern, sich mit ihren Google-Anmeldedaten anzumelden“, so das Microsoft 365 Defender Threat Intelligence Team. Microsoft ist besorgt über die verwendete Technik und hat derzeit festgestellt, dass die Kriminellen die URLs in E-Mails verwenden, um die IcedID-Malware auszuliefern. Sie könnte aber genauso gut für die Übertragung anderer Malware verwendet werden.

IcedID ist ein Banking-Trojaner und Informationsdieb und kann als Einstiegspunkt für nachfolgende Angriffe genutzt werden, wie z. B. manuell betriebene Ransomware für hochrangige Ziele. Von Menschen gesteuerte Ransomware-Angriffe werden immer häufiger und erfordern, dass der Angreifer an der Tastatur sitzt und den Angriff orchestriert, im Gegensatz zu einem automatisierten Angriff. „Wir haben bereits die Sicherheitsgruppen bei Google alarmiert, um auf diese Bedrohung aufmerksam zu machen, da sie Google-URLs ausnutzt“, so Microsoft.

„Wir haben einen Zustrom von Kontaktformular-E-Mails beobachtet, die auf Unternehmen abzielen, indem sie die Kontaktformulare von Unternehmen missbrauchen. Dies deutet darauf hin, dass die Angreifer möglicherweise ein Tool verwendet haben, das diesen Prozess automatisiert und dabei den CAPTCHA-Schutz umgeht“, so das Unternehmen weiter. Für Unternehmen und Behörden ist es schwierig, diesen Angriff zu erkennen, da die E-Mails von ihren eigenen Kontaktformularen und E-Mail-Marketing-Systemen an die Mitarbeiter gesendet werden.

„Da die E-Mails aus dem eigenen Kontaktformular auf der Website des Empfängers stammen, entsprechen die E-Mail-Vorlagen dem, was man bei einer tatsächlichen Kundeninteraktion oder -anfrage erwarten würde“, so Microsoft. Die Angreifer verwenden eine Sprache, die den Mitarbeiter unter Druck setzt, zu antworten – zum Beispiel mit der falschen Behauptung, dass die angegriffene Website urheberrechtlich geschützte Bilder verwendet. Die E-Mail enthält einen Link zu einer sites.google.com-Seite, auf der sich der Mitarbeiter die angeblich rechtsverletzenden Bilder ansehen soll.

Wenn der Mitarbeiter seine Arbeit macht und die Behauptung untersucht, indem er sich auf der Seite anmeldet, wird von der sites.google.com-Seite automatisch eine ZIP-Datei mit einer JavaScript-Datei heruntergeladen, die wiederum IcedID-Malware als .DAT-Datei herunterlädt. Außerdem wird eine Komponente des Penetrationstest-Kits Cobalt Strike heruntergeladen, die es dem Angreifer ermöglicht, das Gerät über das Internet zu kontrollieren.