von Redaktion IT-A…
Lesezeit
1 Minute
Raffinierte E-Mail-Attacke nimmt deutsche Nutzer ins Visier
Eine Cyberattacke sorgt für immer größeres Aufsehen: Die E-Mail-basierte Angriffskampagne TA551, besser bekannt als Shathak, breitet sich weltweit aus – auch im deutschsprachigen Raum. Shathak sei enorm wandelbar, die gefälschten E-Mails wirken täuschend echt. Da jeder Angriff anders verlaufe und diese sehr gut getarnt seien, gelte die Infektionsgefahr bei Betroffenen, die nicht über die Angriffskampagne informiert sind, als hoch, warnt die PSW GROUP.
Zentraler Bestandteil der Angriffe ist demnach eine E-Mail als Köder, bei der eine E-Mail-Kette vorgetäuscht wird. Die Täter verwenden gestohlene SMTP-Anmeldeinformationen und stellen aus zuvor erbeuteten Inhalten täuschend echte E-Mails zusammen, sodass deren Empfänger von vertrauenswürdigen E-Mails ausgehen. Die gefälschten E-Mails enthalten dabei Betreffzeilen und Inhalte, die sich auf die vorherige E-Mail-Kommunikation beziehen – zum Beispiel werden die Betreffzeile sowie interne Informationen aus dem Unternehmen individuell auf das jeweilige Opfer angepasst.
"Die E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. In der E-Mail befindet sich ein passwortgeschützter Zip-Anhang, der ein malwareverseuchtes Dokument enthält, beispielsweise eine Microsoft-Office-Datei", verdeutlicht Patrycja Schrenk, Geschäftsführerin der PSW GROUP [1], und erklärt, wie die Schadsoftware auf den Computer seines Opfers gelangt: "Der Benutzer wird im Text der E-Mail über das Passwort für den Zip-Anhang informiert. Öffnet er das Dokument, das in Form von Makros mit Malware infiziert ist, wird das System des Opfers mit der Malware infiziert." Bisher hat Shathak verschiedene Malware-Familien, wie zum Beispiel IcedID, Valak und Ursnif (Gozi/ISFB) verwendet.
Shathak, das zu Anfang vornehmlich auf englischsprachige Opfer abzielte, hat bereits Opfer in Deutschland, Italien und Japan gefunden. Auch die Verbreitungsmethode der Schadsoftware hat sich weiterentwickelt: Zu Anfang setzte die E-Mail-Angriffskampagne auf mehrere Malware-Familien. Vermehrt sind nun Fälle zu beobachten, in denen häufig IcedID als Schadsoftware eingesetzt wird. Dabei handelt es sich um einen sehr leistungsfähigen Trojaner, der ursprünglich auf die Erbeutung von Banking-Informationen eingesetzt wurde, sich aber nun vielseitig für andere Angriffe einsetzen lässt.
"Shathak ist besonders schwer erkennbar und wandelt sich sehr schnell, dadurch ist es sehr schwer, gefälschte E-Mails zu erkennen", warnt Patrycja Schrenk und rät zur äußersten Vorsicht in der E-Mail-Kommunikation: "Eine gesunde Skepsis kann vor hohem Schaden und einer Infektion bewahren. Wer sich nicht sicher ist, ob eine E-Mail vertrauenswürdig ist, sollte sich nicht scheuen, beim Absender anzurufen, um sich über die Korrektheit der E-Mail vergewissern", rät sie. Grundsätzlich gilt beim Umgang mit Shathak aber auch: Eine angemessene Spam-Filterung, ordnungsgemäße Systemadministration und aktuelle Windows-Hosts sorgen für ein deutlich geringeres Infektionsrisiko.
dr
[1] www.psw-group.de
"Die E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. In der E-Mail befindet sich ein passwortgeschützter Zip-Anhang, der ein malwareverseuchtes Dokument enthält, beispielsweise eine Microsoft-Office-Datei", verdeutlicht Patrycja Schrenk, Geschäftsführerin der PSW GROUP [1], und erklärt, wie die Schadsoftware auf den Computer seines Opfers gelangt: "Der Benutzer wird im Text der E-Mail über das Passwort für den Zip-Anhang informiert. Öffnet er das Dokument, das in Form von Makros mit Malware infiziert ist, wird das System des Opfers mit der Malware infiziert." Bisher hat Shathak verschiedene Malware-Familien, wie zum Beispiel IcedID, Valak und Ursnif (Gozi/ISFB) verwendet.
Shathak, das zu Anfang vornehmlich auf englischsprachige Opfer abzielte, hat bereits Opfer in Deutschland, Italien und Japan gefunden. Auch die Verbreitungsmethode der Schadsoftware hat sich weiterentwickelt: Zu Anfang setzte die E-Mail-Angriffskampagne auf mehrere Malware-Familien. Vermehrt sind nun Fälle zu beobachten, in denen häufig IcedID als Schadsoftware eingesetzt wird. Dabei handelt es sich um einen sehr leistungsfähigen Trojaner, der ursprünglich auf die Erbeutung von Banking-Informationen eingesetzt wurde, sich aber nun vielseitig für andere Angriffe einsetzen lässt.
"Shathak ist besonders schwer erkennbar und wandelt sich sehr schnell, dadurch ist es sehr schwer, gefälschte E-Mails zu erkennen", warnt Patrycja Schrenk und rät zur äußersten Vorsicht in der E-Mail-Kommunikation: "Eine gesunde Skepsis kann vor hohem Schaden und einer Infektion bewahren. Wer sich nicht sicher ist, ob eine E-Mail vertrauenswürdig ist, sollte sich nicht scheuen, beim Absender anzurufen, um sich über die Korrektheit der E-Mail vergewissern", rät sie. Grundsätzlich gilt beim Umgang mit Shathak aber auch: Eine angemessene Spam-Filterung, ordnungsgemäße Systemadministration und aktuelle Windows-Hosts sorgen für ein deutlich geringeres Infektionsrisiko.
dr
[1] www.psw-group.de
