Die G Data SecurityLabs haben in den letzten Wochen eine breit angelegte Spam-Kampagne beobachtet, die vorrangig deutsche Internetnutzer ins Visier nimmt. In bisher zwei großen Wellen wurden die Namen von vier weltweit bekannten Unternehmen als Köder missbraucht, um Nutzer mit dem Banking-Trojaner Cridex zu infizieren. Die Angreifer tarnen ihre Attacken aktuell als Rechnungen von der Telekom, Vodafone oder NTTCable beziehungsweise als Sicherheits- und Überweisungshinweise der Volksbank.
Die erste Welle wurde dabei vom 17.12.2013 bis zum 20.12.2013 beobachtet. Die zweite Welle begann am 6.1.2014 und ist nach wie vor aktiv, unterbrochen nur von dem zurückliegenden Wochenende – offenbar führen die Angreifer ihre Tätigkeit wie normale Arbeitnehmer aus.
Allein seit Beginn dieser Woche (13.01.) hat G DATA mehr als 1.100 neue Webseiten registriert, die den vier Kampagnen zuzuordnen sind. Dabei sind uns aktuell 6 verschiedene URL-Muster bekannt – zwei für die Telekom, zwei für die Volksbank und jeweils eine für die anderen beiden Unternehmen.
Die Statistiken der G DATA SecurityLabs zeigen innerhalb dieser letzten Tage eine Konzentration auf die Telekom-Kampagne – etwas über 49% der erwähnten infizierten URLs gehörten dazu. Schädliche Webseiten aus Volksbank Lock-Mails waren mit über 28% vertreten und Rang drei belegt NTTCable mit knapp 12%.
Alle vier Unternehmen sind populär und damit sehen viele Mail-Empfänger die Mails auch zunächst als vertrauenswürdig an. In den gut gemachten falschen Rechnungen und Hinweismails verbirgt sich jedoch ein Link zu einer schädlichen Webseite:
Klickt der Nutzer den Link an, bekommt er zunächst automatisch eine .zip-Datei auf seinen Rechner geladen. In diesen Archiven haben die Angreifer die Malware der Familie Cridex als ausführbare Datei abgelegt. Sobald der Nutzer die .exe-Datei öffnet, infiziert der Banking-Trojaner den PC.
Schädlinge dieser Familie sind unter anderem für folgende Funktionen bekannt:
Die Schaddateien sind nach aktuellen Erkenntnissen auf Servern in Rumänien, Russland, England und den USA hinterlegt. Die Angreifer hinterlegen immer wieder neue Varianten des Schädlings, um so möglichst eine flächendeckende Erkennung durch die AV-Produkte zu verhindern.
Die vielfältigen G DATA Schutztechnologien halten die Schädlinge jedoch in Schach – allen voran natürlich die G DATA BankGuard-Technologie, wie sie zum Beispiel in den aktuellen Endanwenderprodukten zu finden ist. Die BankGuard Detektionen für Cridex haben in den letzten Wochen einen neuen Höchststand erreicht. Der erstmals 2011 entdeckte Trojaner, der jedoch überhaupt erst seit April 2013 bedeutende Aktivität zeigt (siehe G DATA MalwareReport H1 2013), hat in der jüngsten Vergangenheit sogar für mehr Aufsehen gesorgt als der etablierte Banking-Trojaner ZeuS mitsamt aller Klone wie Citadel und Gameover:
An diesem aktuellen Beispiel wird deutlich, dass Spam-Versand als initialer Angriffsvektor noch lange nicht aus der Mode gekommen ist. Die Angreifer haben sich viel Mühe gegeben, verschiedene Ausführungen der betrügerischen Mails zu generieren und diese dabei täuschend echt aussehen zu lassen. Nur wenige Fehler verraten, dass es sich um Fälschungen handelt.
Mit einer ausgeklügelten Payload wie Cridex könnten die Cyber-Angreifer viel Beute auf unterschiedlichen Ebenen machen – zum Beispiel Überweisungen abgreifen, persönliche Daten stehlen und weiterverkaufen, neue Malware installieren, Spam versenden und mehr.