Opfer von MITB-Angriffen
Banking-Trojaner Dyreza greift jetzt IT-Supply Chain an
Die Zielgruppe der inzwischen berüchtigte "Man-in-the-Browser" (MITB)-Banking-Malware Dyreza, von der Anmeldedaten ausgespäht werden sollen, hat sich inzwischen deutlich vergrößert
Von Monika Schaufler, Regional Director CEMEA, bei Proofpoint
(27.10.15) - Das Forschungsteam von Proofpoint hat entdeckt, dass sich der Fokus der anfänglich noch auf Onlinebanking-Anmeldedaten von Endbenutzern abzielendenden "Man-in-the-Browser" (MITB)-Banking-Malware Dyreza nun auf die IT Supply Chain richtet. So wurden kürzlich 20 Organisationen direkt aus dem Bereich Fulfillment und Warehousing, vier Softwarefirmen, die Support für Fulfillment und Warehousing anbieten sowie fünf Computer-Großhändler Ziel der Angriffe.
Die Änderungen zeigen eine klare, Strategie, eine neue Branche an allen Punkten der gesamten Lieferkette ins Visier zu nehmen. Die jüngste Entwicklung verdeutlicht, dass nur Finanzinstitute Opfer von MITB-Angriffen werden, bei denen Kundenanmeldedaten gestohlen werden. Hat ein Angreifer die Anmeldedaten für die anvisierten Systeme erlangt, ist das Potenzial, Zahlungsinformationen zu erfassen, betrügerische Finanztransaktionen zu tätigen und physische Transporte umzuleiten, enorm.
Die Zielgruppe der inzwischen berüchtigte "Man-in-the-Browser" (MITB)-Banking-Malware Dyreza, von der Anmeldedaten ausgespäht werden sollen, hat sich inzwischen deutlich vergrößert.
Lag der Fokus dieser Angriffe anfänglich noch darauf, Onlinebanking-Anmeldedaten von Endbenutzern abzugreifen, was in der Folge noch auf die Bereiche Jobbörsen, Dateihosting, Domain-Registrierung, Webhosting, Steuerberatungsdienstleistungen und Onlinehandel ausgeweitet wurde, so sind zum jetzigen Zeitpunkt (Stand: 17. September) weitere 20 Organisationen, die direkt aus dem Bereich Fulfillment und Warehousing stammen, Ziel der Angriffe geworden. Darüber hinaus geht es um vier Softwarefirmen, die Support für Fulfillment und Warehousing anbieten, sowie fünf Computer-Großhändler. Ausgangspunkt ist der Diebstahl von Anmeldedaten bei Marken wie Iron Mountain, OtterBox und Badge Graphics Systems sowie vielen weiteren bekannten Unternehmen aus dem Konsumenten- und Geschäftsbereich im Technologie- und Service-Sektor.
Teil I: Der Phish
In einer typischen Ausprägung dieser neuen Kampagne, wie z. B. bei Dyre 2209us13, sendeten die Angreifer eine E-Mail, die so aussah, als stamme sie von einer echten Bank. Die Betreff-Zeile lautete: "Sie haben eine geschützte E-Mail erhalten." In der E-Mail wird der Benutzer aufgefordert, die geschützte E-Mail durch Öffnen des Anhangs zu lesen und zu beantworten, während dieser mit dem Internet verbunden ist.
Teil II: Der Anhang
Öffnet der E-Mail-Empfänger den Anhang, so wird er mit einem "geschützten" Office-Dokument konfrontiert. Das Dokument ist angeblich verschlüsselt und der Benutzer wird aufgefordert, den "Inhalt* zu aktivieren, um dieses Dokument anzuzeigen". Durch Klicken auf die Schaltfläche "Inhalt aktivieren" in dem Word-Dokument werden anschließend in die Dokumente integrierte Makros sowie eine sekundäre Payload aktiviert. Die Aufforderung des Angreifers, eine aktive Internetverbindung zu nutzen (im Nachrichtentext der E-Mail), ist entscheidend, da dieses Makro (auch bekannt als Xbagging oder Bartallex) die Payload aus dem Internet herunterlädt, statt diese aus einem E-Mail-Anhang zu entpacken – eine Technik, die auch genutzt wird, um eine Erkennung durch Sicherheitsprogramme zu verhindern.
Abbildung 2: Der schadhafte Anhang
Bei der von dem Dokument heruntergeladenen Payload handelt es sich um Upatre, die wiederum Dyreza herunterlädt. Zusätzlich kann Dyreza eine der zwei dedizierten Spambots herunterladen, um das Botnet weiter zu verbreiten.
Teil III: Die neuen Ziele
Die konkreten, von Proofpoint beobachteten Änderungen befinden sich im Abschnitt "<rpcgroup>" der Dyreza-Konfiguration. Dieser Abschnitt enthält Anweisungen an Dyreza, POSTs im Browser des Benutzers auszuspähen und diese an den Dyre C2 zu senden. Wie unten zu sehen ist, gehören zu den anvisierten Zielen Unternehmen in der Warehousing- und Fulfillment-Branche sowie Unternehmen, die Warehousing- und Fulfillment-Software entwickeln.
Fazit
Die konkret beobachteten Änderungen zeigen eine klare, wohl durchdachte Strategie seitens der Angreifer, eine neue Branche an allen Punkten der gesamten Lieferkette ins Visier zu nehmen. In dieser Hinsicht sollte die jüngste Entwicklung von Dyreza ein für alle Malverdeutlichen, dass nur Finanzinstitute Opfer von MITB-Angriffen werden, bei denen Kundenanmeldedaten gestohlen werden. Die beobachteten Kampagnen stützen sich eindeutig auf fortschrittliche Malware- und Phishing-Methoden in gezielten Angriffen gegen große Ziele im Fulfillment-, Warehousing- und Distributionssektor. Wir vermuten eine finanzielle Motivation. Hat ein Angreifer die Anmeldedaten für die anvisierten Systeme erlangt, ist das Potenzial, Zahlungsinformationen zu erfassen, betrügerische Finanztransaktionen zu tätigen und physische Transporte umzuleiten, enorm. Um den Angreifern stets einen Schritt voraus zu sein, sollten Unternehmen ihre Sicherheitssysteme auf den Prüfstand stellen und den Einsatz moderner Sicherheitsmaßnahmen zur Abwehr dieser Bedrohungen erwägen. (Proofpoint: ra)
Proofpoint: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.