Kriminelle überlisten Sandboxen von Sicherheitssoftware mit Captchas

Peter Marwan,
CyberkriminalitätSicherheit
Ransomware (Bild: Shutterstock / Carlos Amarillo)

Die Masche wird Trend Mico zufolge in letzter Zeit wieder verstärkt beobachtet. In Deutschland werden Anwender oft mit gefälschten DHL-E-Mails auf die nachempfundenen Seiten gelockt. Geben sie dort das Captcha ein, fangen sie sich die Erpressersoftware TorrentLocker ein.

Eine neue Angriffswelle mit der Ransomware TorrentLocker umgeht Trend Micro zufolge derzeit geschickt Sandbox-Tests gängiger Security-Software, indem sie Nutzer zur Eingabe eines Captchas auffordert. Bei den betroffenen Ländern steht Deutschland derzeit an fünfter Stelle betroffen. Hierzulande haben es die Angreifer offenbar insbesondere auf Personen in der Pharma-Branche abgesehen. Die versuchen sie mit vermeintlichen DHL-Mails zu ködern.

Trend Micro Logo (Bild: Trend Micro)

Laut Trend Micro beziehen die Hintermänner der Erpressersoftware “TorrentLocker” die Anwender aktiv in den Infektionsweg mit ein und schaffen es so, gängige Sicherheitsprodukte zu umgehen. Die Opfer werden – zumindest in Deutschland – derzeit zunächst durch gefälschte DHL-Versandbestätigungen angesprochen.

Auf der dann täuschend ähnlich nachempfundenen Seite des Logistikunternehmens werden Nutzer dann aufgefordert, ein sogenanntes Captcha einzugeben. Diese mittlerweile von vielen Diensten verwendete Methode, um Menschen und Maschinen zu unterscheiden, missbrauchen die Angreifer, um sicherzustellen, dass die Abfrage nicht von einer Sandbox einer Sicherheitssoftware, sondern von einem Menschen kommt.

Britische Nutzer wurden etwa auf eineri mitiierten Site des Versorgungsunternehmens Britisch Gas zur Eingabe eines Captchas aufgefordert .. (Bild: Trend Micro)
Britische Nutzer wurden etwa auf einer imitiierten Site des Versorgungsunternehmens Britisch Gas zur Eingabe eines Captchas aufgefordert …

Erst nachdem das Captcha korrekt eingetippt wurde, wird der Download der Schadsoftware ausgelöst und diese im Anschluss installiert und ausgeführt. Bei TorrentLocker handelt es ich um eine Erpressersoftware: Das heißt, die Festplatte wird verschlüsselt und ein Lösegeld für die Entschlüsselung gefordert. Ob die dann allerdings auch tatsächlich erfolgt, ist zumindest zweifelhaft.

... oder auch auf der nachempfundenen Site des Justizministeriums (Bild: Trend Micro).
… oder auch auf der nachempfundenen Site des Justizministeriums (Bilder: Trend Micro).

“Es ist leider immer nur eine Frage der Zeit, bis Cyberkriminelle auf neue Sicherheitsmechanismen bei ihren Angriffen und Angriffstaktiken reagieren”, erklärt Trend-Micro-Experte Udo Schneider. “Die Lehre aus diesem Fall lautet: Wer sich blind auf Sicherheitsmechanismen verlässt, hat schon verloren. Wer sich nicht absolut sicher ist, dass er oder sie tatsächlich die gewünschte Webseite besucht, sollte in Zukunft kein Captcha mehr eingeben.”

Von den Angreifern wurden etwa 800 kompromittierte Domänen für das Hosting der Bilder in den Mails oder als Umleitungs-Sites in den Mails verwendet. Die gefälschten Sites selbst werden laut Trend Micro inzwischen auf Servern in der Türkei der Russland gehostet. Die aktuelle Angriffswelle habe Mitte Juni begonnen und insbesondere Empfänger in der Pharmaindustrie ins Visier genommen. Frühere Kampagnen richteten sich gegen intensiver gegen Nutzer in Italien und Australien, thematisch verwendeten sie vermeintliche Mobilfunkrechnungen oder Strafzettel wegen Geschwindigkeitsübertretungen.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Peter Marwan
Autor: Peter Marwan
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen