Aktuelle Malware-Angriffswelle in Österreich

22.11.2018

 

In den letzten Wochen wird eine schon lange nicht mehr dagewesene Massenangriffswelle per E-Mail beobachtet. IKARUS Security warnt vor der "verbesserten" Malware, und zeigt anhand einiger Beispiele wie Sie diese erkennen.

  • Betreffe in Deutsch: klassisch als Rechnung, Mahnung, Sicherheitsupdate u.a.
  • Betreff personalisiert: ein bereits infizierter User beginnt ohne sein Wissen SPAM zu verschicken, welcher mit seinen Daten personalisiert ist. Das heißt zum Beispiel, dass sein Name und Vorname im Betreff des Mails verwendet werden, nach dem Muster: Mahnung Nr. xxxxx von Max Mustermann“. Dies erhöht die Wahrscheinlichkeit, dass man solche Mails liest, weil sie unter Umständen seriöser wirken oder von uns bekannten Absendern kommen.
  • Als Träger einer Infektion wird zu 99% ein Word-Dokument verwendet, egal ob es als Anhang mitgeschickt wird oder per URL (Link) im E-Mail zum Download "angeboten" wird.
  • Deutsche Firmen oft als Absender: Die Opfer wissen es oft selber nicht, dass sie Malware verbreiten. Vereinzelt gehen solche Angriffsmails leider auch schon an die ersten österreichischen Firmen.
  • Modularer Aufbau der Malware: Das als Anhang versendete Dokument beinhaltet noch keine Malware in klassischem Sinne! Makros wie Java Script und PowerShell werden als Trojan-Downloader verwendet. Weitere Module werden erst in dem nächsten Schritt nachgeladen. Der Angriff passiert also nicht auf einmal, sondern stufenweise, was die entsprechende Erkennung der Malware erschwert.
  • Angriffsszenario veränderbar: Was mit dem aktuellen Word-Doku-Szenario nachgeladen wird, kann sich jederzeit ändern. Da die aktuelle Trojan-Downloader-Technik für den Hacker sehr leicht ist, kann man jedes Mal ein anderes Angrifsszenario umsetzen.
  • Da die SPAMS zumindest zum Teil von den geknackten, „richtigen“ Accounts verschickt werden, versagen einige klassische Schutzmechanismen wie zum Beispiel SPF Record.
  • Da die eigentliche Malware erst beim Opfer in mehreren Stufen nachgeladen wird und sich aus mehreren unterschiedlichen Modulen sowie verschiedenen Schadenseffekten zusammen setzen kann, ist eine Erkennung deutlich komplizierter.

Auch wenn es sich bei den aktuellen Wellen hauptsächlich um Banking Malware und Ransomware handelt, können wir bei der Masse der Angriffe nicht vorhersagen, welches Schadenspotential noch von den Angreifern ausgehen wird.

ABHILFE FÜR ANWENDER:

Wie immer spielt neben Technik aus User Awareness eine große Rolle. Vorsicht bei E-Mails mit oben angeführten Besonderheiten (stark personalisiert, Word-Dokument als Anhang, ...), die von vermeintlichen Partnern oder potentiellen Kunden kommen.

ABHILFE - TECHNIK:

Ikarus Security empfiehlt dringend zusätzlich zu IKARUS mail.security CS auch das Addon multi-APT Protection zu aktivieren, um gegen die aktuellen Bedrohungsszenarien vorzugehen. Bedenken Sie, dass unter Umständen nur ein Klick und ein Mitarbeiter reichen, um die Malware in der gesamten Firma zu verbreiten.



 

Beitrag drucken
 
 

 

Siedl Networks GmbH

Dr.-Franz-Wilhelm-Straße 2
3500 Krems an der Donau

T: +43 2732 71545-0
office@siedl.net
support@siedl.net
 
Unsere Bürozeiten:

Montag bis Freitag:
08:00 Uhr - 12:00 Uhr
13:00 Uhr - 16:45 Uhr


Siedl Networks GmbH

Dr.-Franz-Wilhelm-Straße 2
3500 Krems an der Donau

T: +43 2732 71545-0
office@siedl.net
support@siedl.net
 

Unsere Bürozeiten:

Montag bis Freitag:
08:00 Uhr - 12:00 Uhr
13:00 Uhr - 16:45 Uhr

 

Person Icon

Für Fragen steht Ihnen unser Team zur Verfügung.

mail
Telefon: +43 2732 71545-0

 +43 2732 71545-0 

facebook
teamviewer support

 +43 2732 71545-0