IcedID: Warnung vor Phishing per Kontaktformular
Das Vorgehen der Hacker ist dabei sehr geschickt, denn es kommt sowohl Social Engineering als auch eine völlig legitime Google-URL zum Einsatz. Das Opfer erhält über das Kontaktformular eine Nachricht, die mit rechtlichen Schritten wegen eines vermeintlichen Vergehens des Unternehmens droht. Ein Beispiel: Eine Fotografin will angeblich ihre urheberrechtlich geschützten Bilder auf der Webseite des angeschriebenen Unternehmens entdeckt haben und droht mit einer Klage, sollte man die Bilder nicht umgehend von der Seite nehmen. Als Nachweis schickt sie mehrere Links mit, über die man sich die Beweise ihrer Behauptungen herunterladen soll. Da es sich dabei um legitime Google-URLs handelt, dürften selbst vorsichtige Internetnutzer erst einmal keinen Verdacht schöpfen. Klickt das Opfer auf den Link, muss es sich mit seinem Google-Konto anmelden. Dieser zusätzliche Authentifizierungsschritt dient dazu, technische Sicherheitsmaßnahmen zu umgehen, die andernfalls den nun folgenden Download einer .zip-Datei mit der verborgenen Malware vielleicht blockiert hätten.
Nach dem Entpacken der .zip-Datei installiert sich mit IcedID die eigentliche Malware. Der Trojaner verbindet sich mit einem Command-and-Control-Server, um weitere Module herunterzuladen, die er benötigt, um Bankdaten und andere Informationen abzufangen und weiterzuleiten. Außerdem können weitere Schädlinge wie die Spionagesoftware Cobalt Strike nachgeladen werden, die den Angreifern die Möglichkeit geben, tiefer in das gekaperte Netzwerk vorzudringen.
Der Erfolg dieser neuen Kampagne beruht auf mehreren Faktoren: Zum einen werden Spamfilter umgangen, indem die initiale Kontaktaufnahme über das hauseigene Kontaktformular erfolgt. Zum anderen ist die E-Mail geschickt formuliert und die Drohung mit rechtlichen Schritten erzeugt Druck beim Opfer, sich die vermeintlichen Beweise anzusehen. Zuletzt ist der Gebrauch einer legitimen Google-Adresse zu nennen, bei der sich das Opfer einloggen muss, wodurch technische Sicherheitsmaßnahmen unter Umständen umgangen werden. Vor allem Mitarbeiter, die für die Bearbeitung der Nachrichten aus Kontaktformularen oder allgemeiner E-Mails an das Unternehmen zuständig sind, sollten daher auf die Gefahr hingewiesen und dafür sensibilisiert werden. Zusätzlich empfiehlt es sich, Benutzerprofile ohne Administratorrechte zu nutzen. Auf diese Art kann sich Malware im Normalfall nicht installieren.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de