Vermeintliche Terrorwarnungen sind Spearphishing-Mails mit schädlichem Anhang
Die Kriminellen geben vor, die E-Mails durch Ermittlungsbehörden zu versenden und nutzen hierzu die Namen echter leitender Mitarbeiter. In der Betreffzeile fügen sie den Namen eines Angestellten der Firma ein, gegen die sich die Attacke richtet. In Wahrheit sollen die Spearphishing-Mails zur Installation eines Fernzugriffs-Trojaners verleiten.
Symantec hat E-Mails mit Warnungen vor angeblich geplanten Terroranschlägen entdeckt, die in Wirklichkeit jedoch zur Installation von Fernzugriffs-Trojanern verleiten sollen. Die Verfasser haben sich sichtlich Mühe gegeben, die Nachrichten authentisch und vertrauenswürdig wirken zu lassen. Sie fingieren den Versand der Mails durch Ermittlungsbehörden und nutzen dafür die Namen leitender Angestellter, die auch tatsächlich im Amt sind. Zudem fügen sie in der Betreffzeile den Namen eines Mitarbeiters derjenigen Firma ein, gegen die sich die angebliche Attacke richten werde.
Diese Spearphishing-Methode setzt Recherchen der Angreifer voraus. Im Visier der Kriminellen sollen insbesondere größere Unternehmen im Energiesektor, dem Rüstungswesen, dem Finanzwesen, Marketing und bestimmten IT-Bereichen, aber auch Regierungsorganisationen sein.
“Wir haben eine Terrorwarnung, die Ihren Geschäftsbereich betrifft”, heißt es etwa in einer der Mails. “Wir empfehlen Ihnen, Vorsichtsmaßnahmen zu ergreifen, wie sie in den beigefügten Sicherheitstipps aufgeführt sind, um Ihr Unternehmen und Ihre Familie vor Schaden zu bewahren.” Angehängt ist neben einer PDF-Datei eine weitere Datei mit der Bezeichnung SECURITYTIPS2015.zip.
Die PDF-Datei an sich ist nicht gefährlich, sondern dient lediglich als Köder. Die Schadsoftware ist in einem weiteren Anhang enthalten – einem JAR-Archiv. Die Analyse der Sicherheitsexperten ergab, dass es sich um einen Jsocket genannten Fernzugriffs-Trojaner (Remote Access Tool, RAT) handelt, der als Backdoor.Sockrat erkannt wird. Die Schadsoftware soll ein neues Produkt der Autoren des AlienSpy RAT sein, das mittlerweile nicht mehr eingesetzt wird.
Bislang wurden solche E-Mails primär an Unternehmen in den Vereinigten Arabischen Emiraten versendet. Ähnliche Angriffe konnte die Sicherheitsfirma schon zuvor in Bahrain, der Türkei sowie vor kurzem in Kanada beobachten. “Die Gruppe baut ihre Reichweite aus, und wir könnten neue E-Mail-Typen sehen, die auf weitere Länder zielen”, heißt es in einem Blogbeitrag von Lionel Payet, Threat Intelligence Officer bei Symantec.
[mit Material von Bernd Kling, ZDNet.de]