Categories: Alerts

Bei Anruf Scam

Die komplexe neue Angriffstaktik, die glaubwürdige Telefon- und E-Mail-Kommunikation miteinander kombiniert, um die Kontrolle über Unternehmensnetzwerke zu übernehmen und Daten abzuführen. Die Malware selbst wurde dabei auf äußerst ungewöhnliche Weise geliefert: Ein Anrufer überzeugte das Angriffsziel, eine E-Mail-Nachricht zu öffnen, die keinen Text enthielt, sondern als Grafik gestaltet war, um einer Outlook-E-Mail-Nachricht zu ähneln. Damit wurde der Download einer verlinkten bösartigen Electron-App ausgelöst.

„Ich möchte eine Lieferung an Ihren Standort bringen.“

Der Anrufer erklärte dem Mitarbeiter, er sei ein Lieferfahrer mit einem dringenden Paket für einen der Unternehmensstandorte, aber niemand sei dort, um das Paket in Empfang zu nehmen. Er bat um eine neue Lieferadresse am Standort des Mitarbeiters. Um das Paket erneut zustellen zu können, müsse der Mitarbeiter ihm einen Code vorlesen, den die Versandfirma per E-Mail senden würde. Noch während der Anrufer am Telefon mit dem Mitarbeiter sprach, erhielt dieser die angekündigte E-Mail-Nachricht. Die E-Mail-Nachricht besagte, dass eine an die Nachricht angehängte PDF-Datei den erforderlichen Code enthielt.

Diese E-Mail, in perfektem Französisch verfasst, löste die anschließende Angriffskette aus. Tatsächlich war die gesamte Nachricht ein Fake, der nur aussah wie eine E-Mail mit einem PDF-Anhang. Sowohl der „Anhang“ als auch die Textnachricht waren in Wirklichkeit nur statische Bilder, die in den Nachrichtentext eingebettet waren. Unter Anleitung des Betrügers am Telefon klickte der Mitarbeiter auf das Bild, was zum Download der Malware führte.

Aufwändige Social Engineering-Angriffskette

Obwohl die E-Mail-Nachricht wie erwähnt in französischer Sprache verfasst war, deuten technische Hinweise darauf hin, dass die Angreifer bereits wussten, dass die Schweizer Zielperson möglicherweise deutschsprachig ist. Die Sophos-Analysten konnten zudem nachvollziehen, dass die Angreifer möglicherweise den Anrufempfänger persönlich ins Visier genommen hatten und eine aufwändige Social Engineering-Angriffskette erstellten. Diese führte dazu, dass die Cyberkriminellen kurzzeitig die Kontrolle über den Computer des Mitarbeiters übernahmen, bevor dieser buchstäblich den (Ethernet-)Stecker aus dem kompromittierten Computer zog. Der aufmerksame Mann spürte, dass etwas nicht stimmte und trennte den infizierten Computer vom Netzwerk. Leider jedoch nicht mehr rechtzeitig, bevor die schädliche Nutzlast aktiv war.

„Dieser Angriff war äußerst gezielt. An diesem Freitag war nur eine Person im Büro, und die Angreifer kannten wahrscheinlich die Identität dieser Person. Die Verwendung eines Bildes, das sich als E-Mail tarnt, ist ebenfalls etwas, das wir bisher nicht gesehen haben. Allerdings ist es clever. Das Anhängen eines tatsächlichen PDF löst oft Alarm auf Systemen aus, da sie häufig zur Verbreitung von Malware verwendet werden, und E-Mails mit PDFs landen oft in Spam-Filtern“, sagte Andrew Brandt, Principal Researcher bei Sophos.

Nach dem Eindringen in das Netzwerk nutzten die Kriminellen Malware, um nach einer Vielzahl von Informationen zu suchen, einschließlich Buchhaltungssoftware-Daten, Cookies, Browsing-Verlauf sowie Passwörtern und Kryptowährungs-Wallets. Um ihre Datenausschleusung zu verbergen, verbanden die Angreifer das System mit Tor (dem Dark Web). Der Mitarbeiter, der den Braten schließlich roch und den Stecker zog, verhinderte schlimmere Folgen für sein Unternehmen.

Nach dem Angriff auf das Schweizer Unternehmen entdeckte Sophos X-Ops einen weiteren Angriff mit demselben Vorgehen gegen ein Unternehmen in Australien. Welche Gruppe auch immer hinter diesen Angriffen steckt – sie ist wahrscheinlich immer noch aktiv.

Roger Homrich

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago