Suchen
Company Topimage

exploqii GmbH – a KnowBe4 company

http://www.knowbe4.de/
Firma bearbeiten

31.03.2020

Ein Banking-Trojaner, der die Posteingänge von Benutzern verfolgt

Autor: Stu Sjouwerman, CEO bei KnowBe4

Cybersicherheitsexperten wissen, dass Angriffe auf Unternehmen rasant zugenommen haben und dass die bösartigen E-Mails, die an Posteingänge in Unternehmen gesendet werden, immer perfider geworden sind. Es bedarf nicht viel, damit ein Unternehmen zu einem Opfer einer Ransomware-Attacke wird. Eine allgemeine Security Awareness-Kampagne im Unternehmen wird nicht verhindern, dass ein ausgeklügelter Backdoor-Trojaner sensible Daten exfiltriert und dass Cyberkriminelle die wertvollsten Geheimnisse stehlen.

Phishing ist langweilig

Woher wissen die Benutzer also, was sie über Phishing-Angriffe wissen? Unternehmen schicken durch ihre IT-Mitarbeiter E-Mails, in denen sie die Mitarbeiter vor den Gefahren von Phishing warnten. Möglicherweise haben diese sogar einige allgemeine Ratschläge gegeben, wie potenzielle Bedrohungen in Posteingangsfächern erkannt werden können (seien Sie vorsichtig mit E-Mails von außerhalb des Unternehmens, seien Sie misstrauisch gegenüber E-Mails, die Sie nicht erwartet haben oder die von Leuten stammen, die Sie nicht kennen, achten Sie auf verräterische Zeichen wie Rechtschreibfehler und Tippfehler usw.).

Die Mitarbeiter verfügen jedoch über andere Informationsquellen über Phishing-Bedrohungen, die wahrscheinlich mehr Gewicht haben als die gelegentliche Vorsichts-E-Mail der IT-Mitarbeiter ihres Arbeitgebers. Eine offensichtliche alternative Informationsquelle sind Social Media-Kanäle, wo die Benutzer dunkle Geschichten fragwürdiger Herkunft über Vorfälle hören werden, von denen angenommen wird, dass sie irgendwo in einer anderen Organisation aufgetreten sind. Eine weitere Quelle werden die Mainstream-Nachrichtenmedien sein, die in den letzten Jahren immer mehr Platz für Online-Bedrohungen geschaffen haben, meist in Form von Geschichten über die neuesten hochkarätigen Ransomware-Kampagnen.

Es gibt mindestens zwei Probleme mit diesen Informationsquellen, auch wenn sie sachlich genaue Berichte über IT-Sicherheitsvorfälle liefern. Erstens können sie den Benutzern das Gefühl geben, von den Menschen und Ereignissen, über die gesprochen wird, getrennt zu sein. Diese Vorfälle scheinen immer woanders zu passieren, in einem anderen Unternehmen in einem anderen Land, und wurden durch dumme Menschen verursacht, die transparent dumme Dinge tun. Nach unserer Erfahrung neigen Benutzer dazu, die Bedrohungen zu unterschätzen, die sie erwarten, sich selbst zu begegnen, und überschätzen ihre eigene Souveränität bei der Erkennung und Reaktion auf solche Bedrohungen.

Zweitens können Social Media-Kanäle und Mainstream-Nachrichtenmedien den Nutzern jedoch den Eindruck vermitteln, dass Phishing-Angriffe und die damit verbundenen Schäden seltene Sonderereignisse sind, die nur ab und zu völlig zufällig auftreten.

Auf eigene Faust können die Nutzer leicht einen gefährlich unrealistischen Sinn für die Bedrohung durch Phishing-Kampagnen entwickeln. Phishing-Angriffe sind bei weitem nicht nur die Ursache für gelegentliche, zufällige, ins Auge fallende Sonderereignisse, die atemlos über Social Media oder Mainstream-Nachrichten berichtet werden. In Wirklichkeit sind sie zu einem Teil des Büroalltags geworden, auf den Benutzer als Teil ihrer täglichen Arbeit in den Kabinen in ihrem Unternehmen reagieren sollten.

Wenn man sieht, dass dieselben Social-Engineering-Angriffe Woche für Woche über dieselben Phishing-Vorlagen geschoben werden, kann es schwierig sein, nicht in eine Art Selbstgefälligkeit zu verfallen. Langweilig ist in einigen Fällen eine gute Sache. IT-Mitarbeiter freuen sich selten auf einen „interessanten“ Tag im Büro. Langweilig kann aber auch tödlich sein. Eine Phishing-Kampagne, die wir in den letzten Monaten verfolgt haben, veranschaulicht auf schöne Weise die alltägliche Realität des Phishings, wie wir es heute kennen.

Phishing ist Routine

Vor zwei Jahren meldeten Unternehmen, die den Phishing Alert Button (PAB) eingeführt haben, einen kontinuierlichen Strom von Phishing-E-Mails, die alle Teil einer laufenden Kampagne sind. Obwohl die bösartigen E-Mails, die in dieser Kampagne verwendet wurden, einen gewissen täglichen Fluss in Betreffzeilen und Fließtext aufweisen, wurde schnell klar, dass sie alle aus einem Guss sind. Diese Kampagne dauerte monatelang - und zwar unerbittlich mit den gleichen vorhersehbar zufälligen Elementen und zur Zeit dieses Schreibens.

Wenn zum Beispiel E-Mails aus dieser Kampagne gesucht werden, könnte festgestellt werden, dass diese ziemlich leicht zu erkennen sind. Erstens, das sich ständig ändernde Menü der E-Mail-Vorlagen, die in dieser Kampagne verwendet werden, stützt sich auf Social-Engineering-Angriffe, die sich auf die meisten Routinethemen der Wirtschaft konzentrieren: Rechnungen und die damit verbundenen Zahlungen.

 

Die Phishing-E-Mails dieser Kampagne sind in der Regel kurz und prägnant. Und obwohl sie die Leser sanft mit dem Hinweis auf ein kleines Problem mit einer Rechnung oder Zahlung anweisen, sind sie nie beunruhigend. Keine dieser E-Mails richtet sich an Benutzer, die mit Kontoschließungen, Klagen, Disziplinarmaßnahmen der Personalabteilung oder dem Verlust von Daten oder Geld drohen. Nein, diese E-Mails sind so konzipiert, dass sie in die Posteingänge der Benutzer gelangen, ohne die Augenbrauen zu heben, und reflexive Klicks auf eingebettete Links von Benutzern erzeugen, die zu beschäftigt sind, um etwas Falsches zu bemerken.

 

Obwohl mehrere Mitarbeiter im Unternehmen Phishing-E-Mails von dieser Kampagne erhalten können, erhalten die meisten verschiedene E-Mails mit unterschiedlichen Betreffzeilen, Fließtext und eingebetteten Links. Im Laufe der Analyse des eintägigen Transports von E-Mails aus dieser Kampagne wurden zwanzig verschiedene Themen beobachtet:

  • Awaiting for your confirmation
  • BUK6-6479252009
  • Final Account
  • INCORRECT INVOICE
  • Invoice
  • Invoice# 8300329
  • Invoices attached
  • Invoice due, number 65319/WC#AGNXP/2017 (06 Dec 17)
  • Invoice Problem
  • Invoices Overdue
  • New invoice #9
  • Order Confirmation
  • Outstanding INVOICE FBNPT/2128389/3857
  • Overdue payment
  • Please send copy invoice
  • Purchases 2017
  • Sales Invoice
  • Seperate Remittance Advice Layout - paper document A4
  • Trouble with you invoice
  • VZTZG7-79058215606

Jede dieser Betreffzeilen wurde mit einem von vierunddreißig verschiedenen E-Mail-Betreffs gepaart, mit einer ähnlichen Verteilung von eingebetteten Links. Und das war nur eine Tageskollektion von Phishing-E-Mails aus dieser bösartigen Kampagne. Im Laufe der Wochen und Monate wurde festgestellt, dass sich diese Grundelemente (Subject: Bodytext, eingebettete URL) fast täglich änderten, wobei jeden Tag eine andere Mischung von Elementen eingeführt wurde.

Diese Verwendung von sich ständig ändernden Elementen erschwert es nicht nur den Anti-Spam- und Anti-Malware-Engines, diese Phishing-Kampagne zuverlässig anzugehen, sondern macht es auch für die wachsamsten IT-Mitarbeiter schwieriger zu erkennen, wann das eigene Unternehmen angegriffen wurde. Anstatt eine Welle identischer Phishing-E-Mails zu sehen, die in kurzer Zeit auf ihre E-Mail-Server gelangen, sehen die IT-Mitarbeiter nur eine uneinheitliche Sammlung von scheinbar unzusammenhängenden E-Mails, die sich leichter in den täglichen Strom des E-Mail-Verkehrs einfügen.

Bei genauerem Hinsehen stellten wir fest, dass die Bösewichte hinter dieser Kampagne mehrere weitere Schritte unternommen hatten, um die allgemeine bösartige Natur der E-Mails ihrer Kampagne zu verschleiern:

Vor- und Rückweg: Linien zeigten auf eine ebenso vielfältige Sammlung von E-Mail-Adressen.

Kampagnen-E-Mails wurden offenbar von einer Vielzahl von gefährdeten E-Mail-Konten oder Boxen verschickt, die in einem Botnetz registriert sind. Fast alle Domains, die in den eingebetteten Links der E-Mails verwendet werden, wurden kompromittiert, aber ansonsten legitime Domains (im Gegensatz zu zweifelhaften Domains auf verdächtigen Top Level Domains, die innerhalb der letzten 72 Stunden registriert wurden).

Eingebettete Links haben den Download von Word-Dokumenten mit wiederum verschiedenen Dateinamen eingeleitet (Warten auf Ihre Bestätigung.doc, Endabrechnung.doc, Rechnungsnummer 382845.doc, Rechnungen überfällig.doc, Auftragsbestätigung.doc, etc.).

Es gab jedoch mehrere gemeinsame Elemente, die eine Art Familienähnlichkeit begründeten: Alle E-Mails verwendeten Social-Engineering-Angriffe, die auf Rechnungs- und Zahlungsfragen basieren.

Alle E-Mails verwendeten einen ähnlich strukturierten Textkörper (einfache Anrede, 1-2 Zeilen Textkörper selbst, gefolgt von einem unverfälschten Link und einem einfachen Signaturblock, der hauptsächlich aus dem Namen des Absenders besteht). Alle eingebetteten Links lieferten .DOC-Dateien ähnlicher Größe (153.1 KB). Es sind natürlich die.DOC-Dateien, die den Kern dieser Phishing-Kampagne bilden - der Klebstoff, der das Ganze zusammenhält.

Phishing ist anspruchsvoll

Die Downloads von .DOC-Dateien erwiesen sich als das interessanteste und beunruhigendste Element dieser ansonsten unscheinbar aussehenden Kampagne (wobei anzumerken ist, dass das unauffällige Erscheinungsbild der Kampagne in hohem Maße das Ergebnis einer gemeinsamen, geschickten Anstrengung der Bösewichte war, ihr diese Qualität zu verleihen).

Die fraglichen Word.DOCs öffneten sich für die Art eines einfachen, schlichten, aber professionell gestalteten Makro-Warnbildschirms, die sonst im Laufe des Jahres 2017 immer weniger gesehen wurden.

 

Benutzer, die Makros aktivieren oder in diesem Word-Dokument bearbeiten, starten unwissentlich den Download eines ausführbaren Droppers durch das eingebettete Makro, das sich an eine IP-Adresse richtet, die einem bekannten bösartigen C&C-Server zugeordnet ist. Der Dropper wiederum registriert einen harmlos benannten Windows-Dienst, um der Malware Persistenz bei Neustarts zu verleihen, und lädt dann noch mehr Malware-Module herunter.

Also, was ist das für eine Malware? Es ist in der Tat Emotet, ein Mitglied der Feodo-Malware-Familie. Emotet gibt es seit 2014 in der einen oder anderen Form und hat sich, wie die meisten anderen ausgeklügelten Formen von Malware, die in den letzten Jahren gesehen wurden, seitdem unermüdlich und kontinuierlich weiterentwickelt.

Emotet wurde aufgrund seiner Kernfunktionalität als Banking-Trojaner eingestuft, die darin besteht, mit Hilfe von Netzwerkschnüffelwerkzeugen Kontoauszüge und andere sensible Daten zu sammeln, die genutzt werden können, um Bankkonten auszurauben und andere Formen von Finanzbetrug zu betreiben.

Emotet hat seit seinem ersten Auftreten vor drei Jahren eine Reihe von Veränderungen erfahren. Erstens, wo Emotet ursprünglich über bösartige JS-Dateien vertrieben wurde, die den Benutzern per Phishing-E-Mail zugestellt wurden, wechselten die Bösewichte zu bösartigen PDFs und dann, in neueren Kampagnen, zu makrogeladenen Word.DOCs.

Zweitens, während die Kernfunktionalität des Informationsdiebstahls von Emotet ziemlich konstant geblieben ist, hat Emotet die Fähigkeit erworben, andere Malware-Module fallen zu lassen, einschließlich anderer Banktrojaner wie Dridex.

Drittens beinhalten einige Varianten von Emotet nun wurmartige Funktionen, die es der Malware ermöglichen, sich seitlich in Unternehmen zu verbreiten, indem sie schwache Passwörter brutal erzwingen oder sogar bekannte Exploits wie EternalBlue verwenden, um ungepatchte Boxen zu kompromittieren. Schließlich verfügt Emotet nun über eine sehr ausgefeilte Funktionalität zur Umgehung von Anti-Malware (Erkennung virtualisierter Umgebungen und die Möglichkeit, durch geschickt implementierte Sleep-Routinen das Scannen von Anti-Malware zu umgehen).

Eine Reihe von Sicherheitsorganisationen haben die Aufmerksamkeit nicht nur auf die immer ausgefeiltere und gefährlichere Entwicklung von Emotet in den letzten fünf Monaten gelenkt, sondern auch auf das Wiederaufleben von Phishing-Kampagnen, die Emotet seit September 2017 an gefährdete Organisationen und Benutzer verteilten. TrendMicro berichtete alarmierend, dass die neuesten Phishing-Kampagnen von Emotet in Bezug auf die Zielbranchen ziemlich undifferenziert verlaufen sind. Während Banken und andere Finanzorganisationen aus offensichtlichen Gründen besonders beliebt bei Emotet sind, ist keine Branche wirklich sicher.

Leider kämpft die AV-Industrie selbst weiterhin mit der Erkennung von Emotet Phishing-E-Mails, Word.DOCs und ausführbaren Droppern. In unseren Tests mit Emotet Word.DOCs und ausführbaren Droppern haben typischerweise nur 10-20 Engines (von ca. 60 insgesamt) auf VirusTotal die betreffenden Dateien auch einen Tag nach ihrer Auslieferung durch Emotet Phishing-E-Mails erkannt. URL-Filterdienste wie Google SafeBrowsing markierten selten die eingebetteten Links in Emotet Phishing - zumindest in den ersten Stunden nach der Meldung dieser E-Mails durch den Kunden. Solche Ergebnisse sind angesichts der starken Rotation von Phishing-Vorlagen, Textkörpern, URLs und individuell umgepackten Dateien, die von Emotet Phishing-Kampagnen verwendet werden, nicht überraschend.

Phishing ist wie ein mehrstufiges Feuerwerk

Wie es zu Beginn dieses Artikels angemerkt wurde, läuft die hier dokumentierte Emotet Phishing-Kampagne seit mindestens September 2017. Während viele andere Phishing-Kampagnen in diesem Zeitraum ein- und ausgegangen sind, einige spektakulärer und bemerkenswerter als andere, hat diese Emotet-Kampagne leise weitergemacht und die Posteingänge mit einem stetigen Strom von sich ständig ändernden E-Mails gefüllt, die alle darauf ausgerichtet sind, eines zu tun: Ihre Opfer zu einem zerstreuten, unbedachten Klick zu verleiten, der eine Tür zum Netzwerk Ihrer Organisation für einen der anspruchsvolleren Banking-Trojaner öffnen könnte. Und sie verfolgen diese Kampagne nicht durch Drohungen, Einschüchterung, Versuche, vertrauenswürdige Online-Einheiten wie Google oder Amazon zu täuschen, oder sogar durch verlockende Angebote von kostenlosem Geld. Nein, sie tun es, indem sie versuchen, in den Hintergrundrauschen des täglichen E-Mail-Verkehrs im Büro einzugreifen.

Fazit

Mitarbeiter erhalten Informationen über Phishing und andere Online-Bedrohungen aus einer Vielzahl von Quellen, einige vertrauenswürdiger als andere. Nur Unternehmen selbst können die Aufmerksamkeit ihrer Mitarbeiter auf die Tatsache lenken, dass Phishing nicht nur in den Nachrichten passiert, sondern jeden Tag, wenn sie ihre Posteingänge öffnen. Das effektivste Werkzeug, mit dem Unternehmen ihre Mitarbeiter auf die alltägliche Realität von Phishing-Angriffen konzentrieren können, ist das „New School Security Awareness Training“. Dieses Programm lehrt die Mitarbeiter, die verräterischen Anzeichen eines Phishing-Angriffs zu erkennen und dann ihre Posteingänge mit simulierten Phishing-E-Mails zu füllen. Gleichzeitig können Unternehmen den Fortschritt ihrer Mitarbeiter bei der Erkennung Bedrohungen verfolgen, denen sie bereits täglich ausgesetzt sind.