- Anzeige -


Malware nutzt Smishing oder SMS-Phishing

FakeSpy tarnt sich weltweit als App für Postdienstleistungen

FakeSpy ist ein sogenannter Information Stealer, der SMS-Nachrichten herausfiltert und versendet, Finanzinformationen und Anwendungsdaten stiehlt, Kontoinformationen und Kontaktlisten ausliest und vieles mehr



Von Ofir Almkias, Security Researcher. Mobile Analyst bei Cybereason

Cybereason hat in den letzten Wochen eine neue Version der Android-Malware FakeSpy untersucht. Sie wurde erstmals im Oktober 2017 entdeckt und dann im Oktober 2018 erneut gemeldet. Im Moment läuft eine aktuelle Kampagne mit einer deutlich verbesserten, wesentlich leistungsfähigeren Malware als es bei früheren Versionen der Fall war. FakeSpy wird aktiv weiterentwickelt und das in einem rasanten Tempo. Jede Woche veröffentlichen die Autoren neue Versionen, die über zusätzliche Verschleierungstechniken und Funktionen verfügen.

FakeSpy ist ein sogenannter Information Stealer, der SMS-Nachrichten herausfiltert und versendet, Finanzinformationen und Anwendungsdaten stiehlt, Kontoinformationen und Kontaktlisten ausliest und vieles mehr.

Die Malware nutzt Smishing oder SMS-Phishing, um den Zielcomputer zu infiltrieren, eine Technik, die sich auf Social Engineering stützt. Die Angreifer senden gefälschte Textnachrichten, um die Opfer zu verleiten auf einen bösartigen Link zu klicken. Der Link leitet die Nutzer zu einer schädlichen Webseite weiter, wo sie aufgefordert werden, ein Android Application Package (APK) herunterzuladen.

Diese jüngste FakeSpy-Kampagne scheint Postdienstleistungen auf der ganzen Welt ins Visier zu nehmen. Neue Versionen von FakeSpy tarnen sich als staatliche Post- und Transport-Apps. Die Analyse von Cybereason deutet darauf hin, dass sich die Bedrohungsakteure bei ihren Kampagnen nicht mehr allein auf ostasiatische Länder beschränken, sondern inzwischen weltweit agieren.

Zentrale Ergebnisse

● Das Nocturnus-Team von Cybereason untersucht eine neue FakeSpy-Kampagne, eine mobile Android-Malware, die erstmal im Oktober 2017 auftauchte. FakeSpy ist ein Information Stealer, der in der Lage ist, SMS-Nachrichten zu stehlen und zu versenden, finanzielle Informationen und Anwendungsdaten abzuziehen, Kontoinformationen und Kontaktlisten auszulesen und vieles mehr.

● FakeSpy hat zunächst südkoreanisch- und japanisch-sprachige Ziele angegriffen. Das hat sich inzwischen geändert, und die Schadsoftware richtet sich jetzt gegen Benutzer weltweit. Dabei konzentriert sie sich vornehmlich auf Postunternehmen in Ländern wie den Vereinigten Staaten, Großbritannien, Deutschland, Frankreich, China, Taiwan, der Schweiz und weiteren mehr.

● FakeSpy ist unter anderem deswegen interessant, weil die Malware bereits seit 2017 aktiv ist. Nun zeigt die neueste Kampagne, dass FakeSpy erheblich leistungsfähiger geworden ist! Verbesserungen an der Code-Basis, neue Funktionen, Anti-Emulationstechniken und eine neue globale Zielgruppe lassen darauf schließen, dass diese Malware von ihren Urhebern gut gepflegt wird.

● Cybereason vermutet, dass aufgrund der vielen bei der Analyse gefundenen Artefakte, chinesische Urheber für die Malware verantwortlich zeichnen. Die Namen der Malware-Pakete verwenden die englische Schreibweise chinesischer Namen mit Verweisen auf chinesische Lieder, chinesische Ernährung, chinesische Provinzen usw. Darüber hinaus sind die Domains, die für die Kommunikation mit dem Command-and-Control (C2)-Server verwendet werden, auf einen chinesischen Namen registriert, der wiederum einem chinesischen Internetdienstanbieter zugeordnet ist.

● Die aktuelle Untersuchung gibt einen detaillierten Einblick in die Art und Weise, wie genau die Malware-Autoren FakeSpy zu einer gut ausgestatteten Android-Malware gemacht haben. Durch Untersuchung winziger Details ist es Cybereason gelungen, zu zeigen, wie gefährlich diese Malware tatsächlich ist.

Schlussfolgerungen

FakeSpy ist erstmals im Oktober 2017 in Erscheinung getreten und zielte bis vor kurzem hauptsächlich auf ostasiatische Länder ab. Die Untersuchung zeigt neueste Entwicklungen des Malware-Codes und der Funktionsmerkmale sowie eine Ausweitung auf europäische und nordamerikanische Regionen.

Die Malware richtet sich gegen Länder weltweit und tarnt sich als offizielle App von Post- und Transportdiensten. Diese Apps erscheinen aufgrund des verwendeten App-Logos, des Erscheinungsbildes der Benutzeroberfläche und der Umleitung auf die Webseite des Betreibers als legitim – was den Endbenutzer dazu verleitet, die App für das Original zu halten.

Viele Artefakte deuten nach Ansicht der Analysten darauf hin, dass die Bedrohungsakteure in China beheimatet sein könnten. Die für die C2-Kommunikation verwendeten Domänen sind auf einen chinesischen Namen registriert, der zu einem chinesischen Online-Anbieter gehört. Darüber hinaus sind die Namen der Malware-Pakete in anglisiertem Chinesisch geschrieben und beziehen sich auf chinesische Lieder, Ernährung, Provinzen usw.

Die Malware-Autoren investieren ganz offensichtlich einiges an Aufwand in die Weiterentwicklung der Malware und bündeln sie mit zahlreichen Upgrades. Diese erweitern die Funktionspalette insgesamt und verbessern die Verschleierungstaktiken der Malware, um möglichst lange unentdeckt zu bleiben. Die Verbesserungen machen FakeSpy zu einem der derzeit leistungsstärksten Information Stealer auf dem Markt. Cybereason geht davon aus, dass sich diese Malware mit zusätzlichen neuen Funktionen weiter entwickeln wird. Die nächste Welle kommt, so viel ist sicher. Offen ist lediglich, wann. (Cybereason: ra)

eingetragen: 05.07.20
Newsletterlauf: 30.09.20

Cybereason: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -


Meldungen: Hintergrund

Radware warnt vor akuten Ransom-Attacken

Seit Mitte August hat Radware mehrere Ransom-Kampagnen von Akteuren verfolgt, die sich als "Fancy Bear", "Armada Collective" und "Lazarus Group" ausgeben und mit massiven DDoS-Attacken drohen. Die Geldforderungen werden per E-Mail zugestellt und enthalten in der Regel opferspezifische Daten wie Autonomous System Numbers (ASN) oder IP-Adressen von Servern oder Diensten, auf die sie abzielen werden, wenn ihre Forderungen nicht erfüllt werden. Es handelt sich um eine globale Kampagne, die vor allem auf Finanzdienstleister, E-Commerce und die Reisebranche abzielt. Die Lösegeldgebühr wird zunächst auf 10 BTC festgesetzt, was aktuell knapp 100.000 Euro entspricht – in einigen Fällen auch 20 BTC. Diese Forderungen sind deutlich höher als bei vergleichbaren Kampagnen im Jahr 2019, bei denen in der Regel zwischen 1 BTC und 2 BTC verlangt wurden. Die Erpresser drohen mit DDoS-Angriffen von über 2 Tbps, falls die Zahlung nicht erfolgt. Um zu beweisen, dass der Brief kein Schwindel ist, geben die Autoren an, wann sie einen Demonstrationsangriff starten werden.

APT-Akteur DarkHotel könnte hinter Exploits stehen

Im späten Frühjahr 2020 verhinderten Kasperskys automatisierte Erkennungstechnologien einen gezielten Angriff auf ein südkoreanisches Unternehmen. Bei der näheren Untersuchung der Attacke fanden Kaspersky-Forscher zwei bislang unbekannte Schwachstellen: Ein Exploit zur Ausführung von fremdem Code im Internet Explorer 11 und ein Elevation of Priviliges (EoP)-Exploit zur Erlangung höherer Zugriffsrechte in aktuellen Versionen von Windows 10. Patches für die beiden Exploits wurden bereits veröffentlicht. Bei Zero-Day-Schwachstellen handelt es sich um bislang unbekannte Software-Bugs. Bis zu ihrer Entdeckung können Angreifer diese unbemerkt für schädliche Aktivitäten missbrauchen und schweren Schaden anrichten.

Verwendung einer neuen Malware-Familie

Proofpoint hat eine Cyberkampagne identifiziert, bei der eine mutmaßlich aus China stammende Hackergruppe eine neue Malware-Familie eingesetzt hat. Die Attacken richteten sich unter anderem gegen diplomatische Vertretungen und politische Gremien europäischer Länder. Neben den bekannten ökonomischen und gesellschaftlichen Auswirkungen hat das Coronavirus auch Einfluss auf die Cyberbedrohungslandschaft. Vor allem Social-Engineering-Köder, die einen Bezug zur COVID-19-Pandemie hatten, prägten dabei die erste Jahreshälfte 2020. Untersuchungen dazu haben ergeben, dass mehrere chinesische Hackergruppen in den letzten Monaten Phishing-Köder mit COVID-19-Bezug eingesetzt haben, um bereits bekannte, aber auch neue Ziele auszuspionieren.

Vertrauenswürdige externe Dienste instrumentalisiert

Die Cybersecurity-Spezialisten von F-Secure haben einen Report veröffentlicht, in dem sie Details eines gezielten Angriffs auf ein Unternehmen aus der Kryptowährungsbranche mit der Lazarus Group in Verbindung bringen. Die Hackergruppe, die mutmaßlich in enger Verbindung zur Demokratischen Volksrepublik Korea (DVRK) steht, ist bekannt für ihr hochprofessionelles Vorgehen, das rein finanzielle Interessen verfolgt. Im Bericht kommt F-Secure durch die Verknüpfung von aus dem Angriff gewonnenen Hinweisen und Mustern mit bereits vorhandenen Forschungsergebnissen zu dem Schluss, dass der überprüfte Vorfall Teil einer global angelegten Kampagne der Lazarus-Gruppe ist. Diese richtet sich gegen Unternehmen aus der Kryptowährungsbranche aus den Vereinigten Staaten, Großbritannien, den Niederlanden, Deutschland, Singapur, Japan und weiteren Ländern. Der Bericht analysiert die Logs, Protokolle und weitere technische Artefakte, die von F-Secure während der forensischen Untersuchung eines Angriffes auf eine Krypto-Organisation sichergestellt werden konnten. F-Secures Sicherheitsexperten stellten dabei fest, dass die Angriffsmethoden nahezu identisch mit den Praktiken sind, die so zuvor auch von der Lazarus-Gruppe – auch als APT38 bekannt – eingesetzt wurden.

Modifizierte Malware für effektiven Datendiebstahl

Die Experten von Kaspersky haben eine neue Android-Spyware entdeckt, die unter dem Deckmantel vermeintlicher Erwachseneninhalte und COVID-19-Applikationen in Indien vertrieben wird]. Die Spyware wird der APT-Gruppe Transparent Tribe zugeschrieben, die ihre Aktivitäten auszuweiten scheint und nun mobile Geräte infiziert. Kaspersky konnte bereits vor kurzem Transparent Tribe mit einer aktuellen Cyber-Spionage-Kampagne gegen Militär- und Regierungseinrichtungen weltweit in Verbindung bringen. Jüngste Ergebnisse zeigen nun, dass die Gruppe auch aktiv an der Verbesserung ihrer Tools und der Ausweitung ihrer Reichweite zur Bedrohung mobiler Geräte gearbeitet hat. Während der Untersuchung von Transparent Tribe konnte Kaspersky ein neues Android-Implantat finden, das der Bedrohungsakteur bei Angriffen zum Ausspionieren mobiler Geräte einsetzte und das in Indien durch eine pornografische App und eine gefälschte Version der nationalen COVID-19-Tracking-App verbreitet wurde. Die Verbindung zwischen der Gruppe und den beiden Anwendungen wurde aufgrund der verwandten Domänen hergestellt, die Transparent Tribe nutzte, um bösartige Dateien für verschiedene Kampagnen zu hosten.

- Anzeigen -

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>


Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

- Anzeige -

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.