Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Forscher von Cisco Talos warnen vor einer neuen Phishing-Kampagne, die auf Nutzer in Deutschland und Polen abzielt, um verschiedene Arten von Malware zu verbreiten, darunter eine neue Backdoor namens „TorNet“. Die Phishing-Mails geben vor, gefälschte Überweisungsbestätigungen von Finanzinstituten oder gefälschte Auftragsbestätigungen von Produktions- und Logistikunternehmen zu sein.
„Die Phishing-E-Mails sind hauptsächlich in polnischer und deutscher Sprache verfasst, was darauf hindeutet, dass die Täter vor allem auf Nutzer in diesen Ländern abzielen“, schreiben die Forscher. „Wir haben auch einige Beispiele für Phishing-E-Mails aus derselben Kampagne gefunden, die in englischer Sprache verfasst sind. Aufgrund des Themas der Phishing-E-Mails und der Dateinamen der E-Mail-Anhänge gehen wir mit mittlerer Sicherheit davon aus, dass der Täter finanziell motiviert ist. Die Phishing-E-Mail enthält Anhänge mit der Dateierweiterung „.tgz“, was darauf hindeutet, dass der Täter GZIP verwendet hat, um das TAR-Archiv der bösartigen Anhangsdatei zu komprimieren, um den eigentlichen bösartigen Inhalt des Anhangs zu verbergen und die Erkennung der E-Mail zu umgehen“.
Die neue Malware-Variante mit dem Namen „TorNet“ wird durch den PureCrypter-Loader installiert, nachdem ein Benutzer den Anhang geöffnet hat.
„Wenn ein Benutzer den komprimierten E-Mail-Anhang öffnet, manuell entpackt und eine ausführbare .NET-Loader-Datei startet, lädt er schließlich verschlüsselte PureCrypter-Malware von einem kompromittierten Staging-Server herunter“, schreiben die Forscher.
„Der Loader entschlüsselt die PureCrypter-Malware und führt sie im Systemspeicher aus. Bei einigen Eindringversuchen im Rahmen dieser Kampagne haben wir festgestellt, dass die PureCrypter-Malware die TorNet-Backdoor ablegt und ausführt. Die TorNet-Backdoor stellt eine Verbindung zum C2-Server her und verbindet den Computer des Opfers mit dem TOR-Netzwerk. Sie ist in der Lage, beliebige .NET-Assemblies im Speicher des Opfercomputers zu empfangen und auszuführen, die vom C2-Server heruntergeladen wurden, wodurch sich die Angriffsfläche für weitere Eindringversuche vergrößert.“
Eine zeitgemäße Schulung des Sicherheitsbewusstseins und ein sinnvolles Human Risk Management können Ihre Organisation gegen Phishing und andere Social-Engineering-Angriffe absichern.
