Die nächste Welle der Finanz-Malware geht um – und dieses Mal passen sich die Angreifer gegenüber deutschsprachigen Zielen den typischen Themen zum Ende des Jahres an, um ihre Opfer in die Falle zu locken: Steuerrückzahlungen und überfällige Rechnungen haben Privatpersonen im Visier. Sie verschicken aber auch englischsprachige E-Mails mit angeblichen Scans von Druckersystemen, die in aller Regel in Firmen eingesetzt werden. Alle präparierten Anhänge, Microsoft Office-Dokumente, laden Schadcode auf den Opferrechner und infizieren ihn mit einem Banking-Trojaner der Dridex-Familie.
Die Angreifer haben sich bei der Wahl der Lock-Themen ganz auf das Ende des Jahres eingestellt. Sie versenden E-Mails in deutscher Sprache, mit angeblichen Meldungen über mögliche Steuerrückzahlungen oder aber Rechnungen, die schon zur Mitte des Jahres hätten besprochen werden müssen. Alle Mails haben eine sehr persönliche Note, denn es sind keine E-Mails von vermeintlichen Firmen, sondern von angeblichen Bekannten. Die Anreden und auch Grußformeln sollen eine Verbundenheit zwischen dem Absender und dem Empfänger suggerieren. Hier stehen ganz klar Privatpersonen im Vordergrund des Angriffs und wir erwarten weitere E-Mails dieser Art.
„Hallo ihr zwei,ich bin leider gerade erst nach Hause gekommen. Anbei die geänderten Formulare Eurer Steuererklärung. Diese müssen vermutlich bis morgen beim FA sein.Mit den Fahrtkosten habt ihr eine Erstattung von 302,34 EUR!Liebe Grüße<Absender-Name>“
G DATA erkennt das präparierte Word-Dokument als W97M.Downloader.AHU (Engine A) und Macro.Trojan-Downloader.Donoff.X (Engine B). Die heruntergeladene ausführbare Datei wird von den Scan-Engines als Trojan.GenericKD.2905834 (Engine A) oder auch Win32.Trojan-Spy.Dridex.AI (Engine B) identifiziert. Die G DATA BankGuard-Technologie wehrt diesen Schädling ebenfalls zuverlässig ab!
Hallo ,endlich:) Anbei die Rechnung von Juli. Ich hoffe, im Studio ist alles gut.Liebe Grüße<Absender-Name>
G DATA erkennt das präparierte Word-Dokument als W97M.Downloader.AHU (Engine A) und Macro.Trojan-Downloader.Donoff.X (Engine B). Die heruntergeladene ausführbare Datei wird von den Scan-Engines als Trojan.GenericKD.2905834 (Engine A) oder auch Win32.Trojan-Spy.Dridex.AI (Engine B) identifiziert. Die G DATA BankGuard-Technologie wehrt diesen Schädling ebenfalls zuverlässig ab!
Außerdem versenden diese oder andere Angreifer zeitgleich auch E-Mails in englischer Sprache, die eine Funktion von Netzwerkdruckern nachahmen. Ein Beispiel: Die Angreifer suggerieren, das angehängte Dokument wäre der Scan eines Geräts und man solle es nun mit Microsoft Word öffnen. Die verwendete Modellbezeichnung lässt sich einem Multifunktions-Gerät der populären Marke Sharp zuordnen.
Die Angreifer fälschen dabei den Absender der E-Mail, damit es so aussieht, als würde die Mail aus einem/dem eigenen Unternehmen kommen, was selbstverständlich nicht der Wahrheit entspricht!
Reply to: <Absender-Adresse> Device Name: Not Set Device Model: MX-2600NLocation: Not SetFile Format: DOC MMR(G4)Resolution: 200dpi x 200dpiAttached file is scanned image in DOC format.Use Microsoft(R)Word(R) of Microsoft Systems Incorporated to view the document.
Die G DATA Sicherheitslösungen erkennen das präparierte Dokument als W97m.Downloader.AIG (Engine A) und Macro.Trojan-Downloader.Dridex.AL (Engine B). Die dann nachgeladene Datei zur Infektion des PCs wird als Trojan.GenericKD.2852932 (Engine A) abgewehrt. Die G DATA BankGuard-Technologie wehrt diesen Schädling ebenfalls zuverlässig ab!
Die Angreifer versenden präparierte Microsoft Office-Dokumente mit eingebettetem Makro. Sobald der Benutzer das Dokument öffnet und das Makro ausführen lässt, wird eine Verbindung zu einem Server hergestellt. Von dort wird dann eine ausführbare Datei auf den PC des Opfers geladen und anschließend ausgeführt – damit wird der Banking-Trojaner der Familie Dridex in das System gespielt.
Ende August wurde der Administrator hinter der Dridex-Malware auf Zypern festgenommen: Der 30-jährige Andrey Ghinkul sei einer der führenden Köpfe hinter Angriffen auf die Penneco Oil Company aus Pennsylvania im Jahr 2012. Damals hatten sie in mehreren Stufen über 3,3 Mio. US-Dollar aus dem Unternehmen leiten können, berichtet pcworld.com im Oktober. Die Malware soll im Vereinigten Königreich etwa 30,5 Mio. US-Dollar erbeutet haben und das FBI schätzt, dass in den USA ein direkter Schaden von 10 Mio. US-Dollar durch Dridex zu verzeichnen ist.
Die Aktivitäten der Malware kamen nach der Festnahme ins Stocken, da auch ein koordinierter Takedown beteiligter Server durchgeführt wurde. Doch zum Erliegen konnte dieses Botnetz nicht gebracht werden, wie auch die aktuelle Welle eindrucksvoll beweist.
„Wir bitten alle Internetbenutzer, dringend zu handeln und zum Update des Betriebssystems. Stellen Sie sicher, dass Sie eine aktuelle Sicherheits-Software installiert haben und denken Sie lieber zwei Mal nach, bevor Sie einen Link oder einen Anhang einer unaufgefordert zugesendeten Mail anklicken“, sagt der stellvertretende FBI Direktor Robert Anderson und erwähnt damit schon wichtige Punkte.
Eine aktuelle und umfassende Sicherheitslösung mit einem Schadcodescanner, Firewall, Web- und Echtzeitschutz gehören zur Grundausstattung. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails, ist ebenfalls sinnvoll.
Wir empfehlen Ihnen dringend, niemals Anhänge öffnen, die Sie von einem unbekannten Absender erhalten. Wir empfehlen Ihnen, bei Rechnungen und Co. auf der Hut zu sein. Vor dem Öffnen eines Anhangs sollten Sie sich folgende Fragen stellen:
Wenn Sie Zweifel haben, öffnen Sie den Anhang nicht! Wir empfehlen Ihnen dringend, niemals Makros in Dokumenten aus unbekannter Quelle zu aktivieren.