Phishing-Kampagne verbreitet sich auch über deutschsprachige, schädliche Dateien
Die Kaspersky-Experten haben zu Beginn dieses Monats eine neue Aktivitätswelle der Qbot-Malware entdeckt. Sie hat es auf Unternehmensanwender abgesehen und wird über eine schädliche Spam-E-Mail-Kampagne verbreitet. Für ihr Vorhaben nutzen die Cyberkriminellen fortschrittliche Social-Engineering-Techniken: Sie fangen bestehende Mail-Korrespondenzen ab und leiten innerhalb der Konversation schädliche PDF-Anhänge weiter. Bisher haben Kaspersky-Lösungen mehr als 5.000 solcher E-Mails mit PDF-Anhängen in verschiedenen Ländern, darunter auch Deutschland, entdeckt.
Bei Qbot handelt es sich um einen berüchtigten Banking-Trojaner, der als Teil eines Botnetzes funktioniert und Daten wie Passwörter und geschäftliche E-Mail-Korrespondenzen stehlen kann. Zudem können damit Bedrohungsakteure ein infiziertes System kontrollieren und Ransomware oder andere Trojaner auf Geräten im Netzwerk installieren. Die Malware wird mittels unterschiedlicher Methodiken verbreitet, darunter als schädlicher PDF-Anhang in E-Mails, was bei dieser Kampagne bislang noch nicht häufig vorkam.
Seit Anfang April dieses Jahres ist eine erhöhte Aktivität bei einer Spam-E-Mail-Kampagne, die dieses spezielle Schema mit PDF-Anhängen verwendet, erkennbar. Die derzeitige Angriffswelle begann am Abend des 4. April: Seither haben die Experten von Kaspersky mehr als 5.000 Spam-E-Mails mit PDF-Dateien in englischer, deutscher, italienischer und französischer Sprache entdeckt, die diese Malware verbreiten.
Ausnutzung gestohlener E-Mail-Korrespondenzen von Unternehmen
Der Banking-Trojaner wird über die echte Geschäftskorrespondenz eines potentiellen Opfers verbreitet, die zuvor von den Cyberkriminellen gestohlen wurde. Hierfür wird eine E-Mail an alle Teilnehmer des bestehenden Threads weitergeleitet, in der sie in der Regel unter Angabe eines plausiblen Grundes aufgefordert werden, den schädlichen PDF-Anhang zu öffnen. Die Angreifer bitten beispielsweise darum, alle im Anhang enthaltenen Unterlagen weiterzuleiten oder die vereinbarte Auftragssumme auf Grundlage der im Anhang veranschlagten Kosten zu berechnen. Wird das PDF geöffnet, wird ein schädliches Archiv von einem Remote-Server auf den Computer des Opfers heruntergeladen.
„Die Kernfunktionalität der Qbot-Malware hat sich in den vergangenen zwei Jahren nicht verändert; wir raten Unternehmen dazu, wachsam zu bleiben, da die Malware sehr gefährlich ist“, kommentiert Darya Ivanova, Malware Analyst bei Kaspersky. „Cyberkriminelle entwickeln ihre Techniken ständig weiter und integrieren zusätzliche überzeugendere Social-Engineering-Elemente. Somit erhöht sich die Wahrscheinlichkeit, dass ein Mitarbeiter auf ihre Masche hereinfällt. Um sich davor zu schützen, sollten Warnsignale wie beispielsweise die Schreibweise der E-Mail-Adresse des Absenders, merkwürdige Anhänge oder grammatikalische Fehler sorgfältig geprüft werden. Allen voran kann der Einsatz spezieller Cybersecurity-Lösungen die Sicherheit von Geschäft-E-Mails gewährleisten.“
Kaspersky-Empfehlungen zum Schutz vor Malware
- E-Mail-Adresse des Absenders auf Fehler beziehungsweise Richtigkeit prüfen. Im Zweifelsfall kann eine unseriös erscheinende E-Mail-Adresse über eine Internetrecherche auf ihre Gültigkeit überprüft werden.
- Vorsicht bei Nachrichten, die den Eindruck von Dringlichkeit erwecken. Oft versuchen Betrüger, Druck auszuüben, indem sie in die Betreffzeile einer E-Mail, Wörter wie „dringend“ schreiben.
- Grundlegende Cybersicherheitsschulungen wie Kaspersky Security Awareness [2] oder eine Simulation eines Phishing-Angriffs durchführen, um sicherzustellen, dass Mitarbeiter wissen, wie man Phishing-E-Mails von echten E-Mails unterscheidet.
- Eine umfassende Sicherheitslösung mit Anti-Phishing-Funktionen wie Kaspersky Endpoint Security for Business [3] verwenden, um vor Phishing zu schützen.
- Dedizierte Mail-Schutzlösungen wie Kaspersky Secure Mail Gateway [4] implementieren, die Spam-Nachrichten automatisch herausfiltert.
Weitere Informationen zur aktuellen Kaspersky-Analyse sind verfügbar unter: https://www.kaspersky.com/blog/qbot-pdf-mailout/47902
[1] https://www.kaspersky.com/blog/qbot-pdf-mailout/47902
[2] https://www.kaspersky.de/enterprise-security/security-awareness
[3] https://www.kaspersky.de/small-to-medium-business-security/endpoint-select
[4] https://www.kaspersky.de/small-to-medium-business-security/mail-security-appliance
Nützliche Links:
- Kaspersky Analyse: https://www.kaspersky.com/blog/qbot-pdf-mailout/47902
- Kaspersky Security Awareness:https://www.kaspersky.de/enterprise-security/security-awareness
- Kaspersky Endpoint Security for Business: https://www.kaspersky.de/small-to-medium-business-security/endpoint-select
- Kaspersky Secure Mail Gateway:https://www.kaspersky.de/small-to-medium-business-security/mail-security-appliance