Aktualisierter Banking-Trojaner Dyreza greift jetzt IT-Lieferkette an

Die zunächst zum Abgreifen der Anmeldedaten privater Nutzer von Onlinebanking verwendete Malware Dyreza kommt nun auch zum Einsatz, um durch die damit möglichen “Man-in-the-Browser”-Attacken Personen in der IT-Lieferkette anzugreifen. Darauf hat das IT-Sicherheitsunternehmen Proofpoint hingewiesen. Dem Unternehmen zufolge wurden 20 Firmen aus dem Bereich Fulfillment und Warehousing, vier Softwarefirmen sowie fünf Computer-Großhändler auf diese Art angegriffen.

Laut Monika Schaufler, Regional Director Mittel- und Osteuropa bei Proofpoint, versuchen die Angreifer zunächst Anmeldedaten bei Unternehmen wie Iron Mountain, OtterBox oder Ingram Micro, dem weltweit umsatzstärksten IT-Großhändler, “sowie vielen weiteren bekannten Unternehmen aus dem Konsumenten- und Geschäftsbereich im Technologie- und Service-Sektor” zu entwenden. Ihr zufolge ist eine klare Strategie zu erkennen, “eine neue Branche an allen Punkten der gesamten Lieferkette ins Visier zu nehmen. ” Haben die Angreifer nämlich einmal Anmeldedaten für die sie interessierenden Systeme erlangt, sei “das Potenzial, Zahlungsinformationen zu erfassen, betrügerische Finanztransaktionen zu tätigen und physische Transporte umzuleiten, enorm.”

Typischerweise gehen die Angreifer dabei so vor, dass sie eine gefälschte E-Mail versenden. Die erwecket offenbar oft glaubhaft den Eindruck, von einer Bank zu stammen. In der E-Mail wird der Empfänger aufgefordert, die laut Betreffzeile “geschützte E-Mail” durch Öffnen des Anhangs zu lesen und zu beantworten. Im Anhang findet sich dann ein angeblich verschlüsseltes Office-Dokument. Klickt er auf die Schaltfläche “Inhalt aktivieren”, werden in die Dokumente integrierte Makros sowie eine weitere Software aktiviert.

Das als Xbagging oder Bartallex bekannte Makro funktioniert nur bei aktiver Internetverbindung, da es die eigentliche Malware aus dem Internet herunterlädt, statt aus dem E-Mail-Anhang zu entpacken. Damit versuchen die Angreifer, der Erkennung durch Sicherheitsprogramme zu entgehen. Demselben Zweck dient, dass mit dem schon seit über zwei Jahren bekannten Trojaner Upatre zunächst eine Software heruntergeladen wird, die dann erst im Anschluss Dyreza, den echten und für die Operation wichtigsten Schadcode, nachlädt. Der späht dann im Browser Anmeldedaten aus und übermittelt sie einem Kontrollserver.

Die neuen Angriffe zeigen auch ein Risiko der fortschreitenden Digitalsierung auf. Die zunehmende Zahl von Lieferantenportalen und B2B-Bestellsystemen, über die immer weitreichendere Aktionen vorgenommen werden können, sind insbesondere für gut organisierte Angreifer ein lohnendes Ziel. Sie können darüber zum Beispiel betrügerische Finanztransaktionen tätigen oder Warentransporte veranlassen beziehungsweise umleiten. Bis bei der Masse der täglichen Transaktionen der Betrug bemerkt wird, kann der Schaden erheblich sein.

Dass ausgerechent die IT-Branche ins Visier der Angreifer geraten ist, mag daran liegen, dass hier von zahlreichen Akteuren mit einer Vielzahl von standardisierten, leicht wiederverkaufbaren Produkten gehandelt wird. In einem anderen, bereits sehr weit digitaliserten Bereich wie der Automobilbranche dürfte das schwieriger sein: Würden dort massenhaft Teile abgezweigt, ließen die sich nur schwer und und wahrscheinlich an wenige Abnehmer verkaufen. Ein Smartphone oder ein Flachbildschirm findet einfach mehr Abnehmer als die Nockenwelle für ein bestimmtes Fahrzeugmodell.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.