4.000 $ COVID-19 “Erleichterungschecks” tarnen Dridex-Malware

Cyber Security News

Der American Rescue Act ist die neueste zeitgeistige Verlockung, die in einer E-Mail-Kampagne in Umlauf gebracht wird.

Cyberkriminelle haben keine Zeit verschwendet, um auf den American Rescue Plan – das gerade in Kraft getretene COVID-19-Hilfsgesetz – als Köder für E-Mail-basierte Betrügereien aufzuspringen.

Laut den Forschern von Cofense begann im März eine Kampagne zu kursieren, die das Interesse der Amerikaner an den bevorstehenden Hilfszahlungen in Höhe von 1.400 Dollar und anderen Hilfen ausnutzte. Die E-Mails geben sich als die IRS aus und verwenden das offizielle Logo der Behörde sowie eine gefälschte Absenderdomäne der IRS[.]gov – und behaupten, einen Antrag auf finanzielle Unterstützung anzubieten. In Wirklichkeit bieten die E-Mails den Banking-Trojaner Dridex an.

Die E-Mail sagt, “Es ist möglich, Hilfe von der Bundesregierung Ihrer Wahl zu bekommen” und bietet dann “Angebote” für eine pie-in-the-sky Litanei von großen (und nicht existierenden) Dinge – wie ein $4,000 Scheck, die Fähigkeit, “überspringen Sie die Warteschlange für die Impfung” und kostenlose Lebensmittel.

[Blocked Image: https://alltechnews.de/daten/2021/01/1611697071_98_DanaBot-Malware-gewinnt-wieder-an-Relevanz.jpg]

Es gibt eine Schaltfläche, die besagt, “Get apply form” – wenn sie angeklickt wird, werden die Benutzer zu einem Dropbox-Konto weitergeleitet, wo sie ein Excel-Dokument sehen, das besagt: “Füllen Sie dieses Formular aus, um Federal State Aid zu akzeptieren.” Um dieses angebliche IRS-Formular in seiner Gesamtheit zu sehen, werden die Opfer jedoch aufgefordert, den Inhalt zu aktivieren. Wenn sie das tun, lösen sie Makros aus, die die Infektionskette indirekt in Gang setzen, so Cofense.

[Blocked Image: https://alltechnews.de/daten/2021/03/4000-COVID-19-Erleichterungschecks-tarnen-Dridex-Malware.png]

Der E-Mail-Köder. Quelle: Cofense.

“Während die statische Analyse die URLs, die in diesem Fall zum Herunterladen von Malware verwendet werden, leicht identifizieren kann, hat die automatisierte Verhaltensanalyse möglicherweise Probleme, die Aktivität als bösartig zu erkennen, da sie keine Makros verwendet, um Malware direkt herunterzuladen oder ein PowerShell-Skript auszuführen”, erklärten die Forscher von Cofense in einem Posting am Dienstag. “Die von den .XLSM-Dateien verwendeten Makros legen eine .XSL-Datei auf der Festplatte ab und verwenden dann eine Windows Management Instrumentation (WMI)-Abfrage, um Systeminformationen zu sammeln.”

WMI ist ein Subsystem von PowerShell, das Admins Zugriff auf Systemüberwachungstools gibt, einschließlich der Möglichkeit, Informationen über alles abzufragen, was auf einem bestimmten Computer vorhanden ist – z. B. welche Dateien und Anwendungen vorhanden sind. Es kann auch verlangen, dass Antworten auf diese Abfragen in einem bestimmten Format gegeben werden.

“Die in diesem Fall verwendete WMI-Abfrage … verlangt, dass die abgelegte .XSL-Datei zur Formatierung der Antwort auf die Abfrage verwendet wird”, schreiben die Forscher. “Diese Formatierungsanweisung ermöglicht es, dass das in der .XSL-Datei enthaltene JavaScript über WMI ausgeführt wird und Malware herunterlädt, wodurch die üblicherweise gesehenen Methoden über PowerShell vermieden werden.”

Was ist der Banking-Trojaner Dridex?

Seit seinem ersten Auftreten im Jahr 2011 wird die Dridex-Malware (auch bekannt als Bugat und Cridex) über Phishing-E-Mails verbreitet und zielt im Allgemeinen auf Bankdaten ab. Nachdem er die Bankdaten erbeutet hat, versucht er, unautorisierte elektronische Überweisungen von den Bankkonten unwissentlicher Opfer vorzunehmen.

Im Jahr 2015 war die Malware einer der am weitesten verbreiteten Finanztrojaner in freier Wildbahn, vor allem wenn es um Mitarbeiter von Unternehmen ging; spätere Versionen der Malware wurden mit der zusätzlichen Funktion entwickelt, bei der Installation von Ransomware zu helfen. Im Laufe der Zeit hat sie auch ihre Verschleierungsfähigkeiten verbessert.

Im Dezember 2019 gingen die Behörden gegen die russischsprachige Cybercrime-Gruppe Evil Corp. mit Sanktionen und Anklagen gegen ihren Anführer Maksim Yakubets vor, der für seinen verschwenderischen Lebensstil bekannt ist. Die US-Behörden bieten immer noch bis zu 5 Millionen US-Dollar für Informationen, die zu seiner Verhaftung führen; sie behaupten, dass Yakubets und Evil Corp. mithilfe des Banking-Trojaners Dridex und der Zeus-Malware Millionen von Dollar von Opfern gestohlen haben.

Wie man den Phish verhindert

Diese neueste Kampagne ist überzeugend, so die Forscher – bis zu einem gewissen Grad. Ein raffinierter Trick, den die Angreifer anwenden, ist, dass die E-Mail-Domäne lRS[.]gov lautet – allerdings mit einem kleingeschriebenen “L” anstelle eines großgeschriebenen “I”.

Allerdings sollten Formulierungen wie “Federal State Aid” (Bundes- und Staatshilfe sind zwei verschiedene Dinge) und Off-Grammatik wie “die Bundesregierung Ihrer Wahl” die Alarmglocken läuten lassen.

“Eine genaue Untersuchung der E-Mail zeigt ein paar verdächtige Merkmale”, so Cofense. “Die Formulierung innerhalb des Dokuments, während nicht eindeutig so schlecht wie etwas automatisch aus einer anderen Sprache übersetzt, hat immer noch einige Fehler, die unerwartet von dem, was vorgibt, eine Regierung Kommunikation sein.”

Sie fügten hinzu: “Trotz dieser Probleme ist es wahrscheinlich, dass diese Kampagne den durchschnittlichen Benutzer anlockt, der in Eile ist, um mehr über den Rettungsplan zu erfahren.”

Um zu vermeiden, ein Opfer zu werden, sollten Benutzer ihre Phishing-Erkennungsfähigkeiten verbessern, z. B. indem sie nach kleinen Unterschieden zwischen legitimen und gefälschten Domains suchen. Und für Unternehmen gilt: “Generell sollten WMI und PowerShell auf den meisten Workstations sorgfältig überwacht werden”, empfiehlt Cofense.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com