Wie das Cyberreason Nocturnus-Team am 24. Dezember 2020 bekannt gab, kann durch gefälschte Amazon-Geschenkkarten der berüchtigte Banking-Trojaner Dridex eingeschleust werden. Bei einer Untersuchung wurden Cybercrime-Kampagnen aufgespürt, die gerade um Weihnachten und sicher auch über das neue Jahr sowie insbesondere beim Online-Shopping auftreten. Das ist besonders fatal, weil gerade im Jahr 2020 wegen der Corona-Pandemie viele Verbraucher ihre Einkaufsgewohnheiten geändert haben und online einkaufen.
Cybercrime-Kampagnen in Verbindung mit Online-Shopping aufgespürt!
Gerade in diesem besonderen Jahr werden Einkäufe zum großen Teil online durchgeführt. Umso ernster sollte man die vom Cyberreason Nocturnus-Team im Dezember 2020 aufgespürten Cybercrime-Kampagnen nehmen. Wie das Team zu bedenken gibt, sind Endverbraucher schon lange ein beliebtes Ziel für Cyberkriminelle.
Diese Art der Angriffe ist durch das wegen der COVID-19-Pandemie stark gestiegene Volumen beim Online-Shopping potenziell noch attraktiver geworden, wie das Nocturnus-Team von Cyberreason mitteilt. Im August diesen Jahres wurde der aktuelle IBM U.S. Retail Index veröffentlicht, dessen Daten auf eine Beschleunigung der Verlagerung von physischen Ladengeschäften hin zu digitalen Einkäufen um eine Größenordnung von etwa fünf Jahren wegen der Pandemie hinweisen.
Ein Trend, der Cyberkriminellen gerade recht zu kommen scheint. Sie beobachten diese Situation sehr aufmerksam, um daraus Kapital zu schlagen. Ein Problem dürfte also nicht nur die kürzlich beobachtete Kampagne mit gefälschten Amazon-Geschenkkarten sein, die Scams verwendet, um den gefährlichen Banking-Trojaner Dridex einzuschleusen.
Die wichtigsten Ergebnisse des Cyberreason Nocturnus-Teams im Überblick:
- Gezielte Ausnutzung der Weihnachtszeit durch Bedrohungsakteure: Cyberkriminelle profitieren von gezielten Angriffen auf die steigende Anzahl an Nutzern der Amazon Shopping-Plattform.
- Ziele in Westeuropa und USA: Amazon ist vor allem in den USA und Westeuropa sehr populär. So befindet sich auch die Mehrzahl der Opfer in diesen Ländern.
- Social Engineering: Um Opfer zu täuschen, damit diese bösartige Anhänge herunterladen, werden legitim erscheinende E-Mails, Icons und Namenskonventionen verwendet.
- Diverse Infektionswege: Beobachtet wurden drei verschiedene Infektionswege. Ein Problem stellen demnach SCR-Dateien, bösartige Dokumente sowie VBScripte dar.
- Mehrere Stufen: Alle einzelnen Infektionsmechanismen enthalten mehrere Stufen. Zum Beispiel wird ein passwortgeschütztes Archiv, welches unterschiedliche Dateitypen enthält, entpackt. Eine andere Möglichkeit ist die Ausführung von PowerShell-Befehlen, die eine Verbindung mit dem C2-Server herstellen.
- Schwerwiegende Folgen mit finaler Payload: Wenn von der finalen Payload die Rede ist, handelt es sich um den berüchtigten Dridex-Trojaner.
Details zu Dridex
Bei Dridex sollte man hellhörig werden, weil es sich um einen der berüchtigsten und produktivsten Banking-Trojaner handelt, der bereits seit 2012 in verschiedenen Varianten umhergeht. Schon vorher ist er als Feodo (AKA Cridex, Bugat) aufgetreten. Da es sich um eine evasive Malware handelt, die E-Banking-Zugangsdaten und andere sensible Informationen stiehlt, ist sie sehr schwer fassbar.
Obwohl die Command-and-Control-Server-(C2)-Infrastruktur ausgesprochen robust ist und die Server untereinander als Backup fungieren, kann Dridex die gestohlenen Daten abziehen. Dies ist dann der Fall, wenn einer der Server ausfällt, wodurch dann eine Verbindung mit dem nächsten Server in der Reihe hergestellt wird.
Die Verbreitung von Dridex geschieht meistens über Phishing-E-Mails. Sie enthalten oft Microsoft-Office-Dokumente mit bösartigen Makros. Es ist sehr schwierig, die Malware zu analysieren, weil Dridex immer wieder mit neuen Funktionen aktualisiert wird. Betrieben wird Dridex zum größten Teil von Evil Corp. Hierbei handelt es sich um eine der finanzstärksten und seit über einem Jahrzehnt aktiven Cybercrime-Gruppierungen.
Mit TA505 hat man eine ebenfalls finanziell motivierte Gruppe als Verbündeten, die Dridex seit 2014 vertreibt. Bekannt ist, dass auf das Konto von TA505 weitere Malware wie SDBOT, Servhelper, FlawedAmmyy und die C LOP-Ransomware gehen. Aktuell richtet sich die Kampagne gegen Endverbraucher. Den Opfern wird einfach vorgegaukelt, sie würden eine Geschenkkarte von Amazon bekommen.
Wer das nun glaubt, kann über drei ähnliche und doch unterschiedliche Wege infiziert werden. Entweder über ein Word-Dokument mit dem typischen bösartigen Makro, einer selbstextrahierenden SCR-Datei, was eine bekannte Technik von Dridex ist, oder über eine VBScript-Datei, die als E-Mail-Anhang daherkommt. Letztere Möglichkeit stellt ebenfalls eine bekannte Technik im Zusammenhang mit Dridex dar.
Detailliertere Informationen gibt es im kompletten Report zu Dridex im Cyberreason-Blog.