Gefährliche E-Mails für kleine Online-Händler

Cyberkriminelle greifen kleine Online-Shops an, indem sie Mitarbeiter dazu zu bringen, schädliche Dateien zu öffnen.

Cyberkriminelle wählen häufig Kleinunternehmen als Ziel, da sie selten viel Geld für Sicherheitssysteme ausgeben, oft nicht einmal einen IT-Spezialisten haben und mit großer Wahrscheinlichkeit nur mit einem oder zwei Computern arbeiten. Dies erleichtert die Auswahl eines Ziels, auf dem sich die Art von Informationen befindet, die für Cyberkriminelle interessante Beute ist. Kürzlich haben unsere Technologien einen weiteren Angriff auf kleine Online-Shops entdeckt. Mithilfe von Social-Engineering-Methoden versuchten Angreifer die Eigentümer der Kleinbetriebe zur Ausführung von bösartigen Skripts auf den Computern zu zwingen.

Social Engineering

Der interessanteste Aspekt dieses Angriffs ist der Trick, mit dem die Angreifer einen Ladenangestellten davon überzeugen können, eine schädliche Datei herunterzuladen und zu öffnen. Die Kriminellen geben sich als Kunden aus, die eine Bestellung bereits bezahlt haben, aber diese nicht erhalten können. In einer E-Mail behaupten sie, es gäbe Probleme bei der Post und fordern das Kleinunternehmen dazu auf, ein Dokument mit Details (Absenderinformationen, Sendungsnummer usw.) auszufüllen. Würde ein anständiger Geschäftsmann diese E-Mail ignorieren?

Die in unvollständigem, aber verständlichem Englisch geschriebene Mail, enthält einen Link zu einem Objekt, das in Google Docs gehostet wird. Durch Klicken auf den Link wird der Download eines Archivs gestartet, das natürlich eine schädliche Datei enthält – in diesem Fall eine mit der Excel-Erweiterung .xlsx.

Der Angriff aus technischer Perspektive

Der Angriff ist einfach, aber effektiv. Erstens handelt es sich eindeutig nicht um ein Massenmailing – der Nachrichtentext wurde speziell für Online-Shops geschrieben und höchstwahrscheinlich an eine entsprechende Liste gesendet. Zweitens enthält die E-Mail nichts Bösartiges. Es sind nur ein paar Absätze eines Textes und ein Link zu einem legitimen Dienst. Es ist unwahrscheinlich, dass automatische Mail-Filter eine solche Nachricht stoppen, da es sich nicht um Spam oder Phishing handelt und darüber hinaus keine böswilligen Anhänge enthält.

Die XLSX-Datei enthält ein Skript, das eine ausführbare Datei von einem Remotedienst herunterlädt und ausführt. Es handelt sich hierbei um den Banking-Trojaner DanaBot, der unseren Systemen seit Mai 2018 bekannt ist. Diese Malware ist modular aufgebaut und kann zusätzliche Plugins herunterladen, mit denen der Datenverkehr abgefangen und Kennwörter und sogar Cryptowallets gestohlen werden können. Zum jetzigen Zeitpunkt (laut der Statistik für das dritte Quartal 2019) gehört es zu den Top 10 der Malware-Familien im Bankensektor.

Das beabsichtigte Ziel dieses Angriffs sind kleine Geschäfte, daher ist auch es sehr wahrscheinlich, dass der infizierte Computer, mit dem die Mitarbeiter E-Mails lesen, auch der Hauptrechner für Bankgeschäfte ist. Kurzgesagt: Der Rechner enthält Informationen, nach denen die Angreifer suchen.

So schützt man sich gegen solche Angriffe

Erstens: Alle Computer benötigen eine zuverlässige Sicherheitslösung. Unsere Sicherheitstechnologien identifizieren nicht nur DanaBot (als Trojan-Banker.Win32.Danabot), sondern registrieren auch Skripte, die diesen Trojaner mit dem heuristischen Urteil HEUR: Trojan.Script.Generic herunterladen. Daher können Computer, auf denen Kaspersky-Lösungen ausgeführt werden, einen solchen Angriff stoppen, noch bevor der Trojaner heruntergeladen wurde.

Zweitens: Aktualisieren Sie häufig verwendete Programme rechtzeitig. Updates für Betriebssysteme und Office-Suiten sollten dabei oberste Priorität haben. Angreifer verwenden häufig die Sicherheitslücken dieser Programme als Infektionsweg für Malware.

Für sehr kleine Unternehmen empfehlen wir die Verwendung von Kaspersky Small Office Security. Es erfordert keine besonderen Managementkenntnisse, schützt zuverlässig vor Trojanern und überprüft auch die Versionen gängiger Anwendungen von Drittanbietern.

Tipps