Meldung

Raffinierte E-Mail-Attacke nimmt deutsche Nutzer ins Visier

Eine Cyberattacke sorgt für immer größeres Aufsehen: Die E-Mail-basierte Angriffskampagne TA551, besser bekannt als Shathak, breitet sich weltweit aus – auch im deutschsprachigen Raum. Shathak sei enorm wandelbar, die gefälschten E-Mails wirken täuschend echt. Da jeder Angriff anders verlaufe und diese sehr gut getarnt seien, gelte die Infektionsgefahr bei Betroffenen, die nicht über die Angriffskampagne informiert sind, als hoch, warnt die PSW GROUP.
Zentraler Bestandteil der Angriffe ist demnach eine E-Mail als Köder, bei der eine E-Mail-Kette vorgetäuscht wird. Die Täter verwenden gestohlene SMTP-Anmeldeinformationen und stellen aus zuvor erbeuteten Inhalten täuschend echte E-Mails zusammen, sodass deren Empfänger von vertrauenswürdigen E-Mails ausgehen. Die gefälschten E-Mails enthalten dabei Betreffzeilen und Inhalte, die sich auf die vorherige E-Mail-Kommunikation beziehen – zum Beispiel werden die Betreffzeile sowie interne Informationen aus dem Unternehmen individuell auf das jeweilige Opfer angepasst.

"Die E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. In der E-Mail befindet sich ein passwortgeschützter Zip-Anhang, der ein malwareverseuchtes Dokument enthält, beispielsweise eine Microsoft-Office-Datei", verdeutlicht Patrycja Schrenk, Geschäftsführerin der PSW GROUP [1], und erklärt, wie die Schadsoftware auf den Computer seines Opfers gelangt: "Der Benutzer wird im Text der E-Mail über das Passwort für den Zip-Anhang informiert. Öffnet er das Dokument, das in Form von Makros mit Malware infiziert ist, wird das System des Opfers mit der Malware infiziert." Bisher hat Shathak verschiedene Malware-Familien, wie zum Beispiel IcedID, Valak und Ursnif (Gozi/ISFB) verwendet.

Shathak, das zu Anfang vornehmlich auf englischsprachige Opfer abzielte, hat bereits Opfer in Deutschland, Italien und Japan gefunden. Auch die Verbreitungsmethode der Schadsoftware hat sich weiterentwickelt: Zu Anfang setzte die E-Mail-Angriffskampagne auf mehrere Malware-Familien. Vermehrt sind nun Fälle zu beobachten, in denen häufig IcedID als Schadsoftware eingesetzt wird. Dabei handelt es sich um einen sehr leistungsfähigen Trojaner, der ursprünglich auf die Erbeutung von Banking-Informationen eingesetzt wurde, sich aber nun vielseitig für andere Angriffe einsetzen lässt.

"Shathak ist besonders schwer erkennbar und wandelt sich sehr schnell, dadurch ist es sehr schwer, gefälschte E-Mails zu erkennen", warnt Patrycja Schrenk und rät zur äußersten Vorsicht in der E-Mail-Kommunikation: "Eine gesunde Skepsis kann vor hohem Schaden und einer Infektion bewahren. Wer sich nicht sicher ist, ob eine E-Mail vertrauenswürdig ist, sollte sich nicht scheuen, beim Absender anzurufen, um sich über die Korrektheit der E-Mail vergewissern", rät sie. Grundsätzlich gilt beim Umgang mit Shathak aber auch: Eine angemessene Spam-Filterung, ordnungsgemäße Systemadministration und aktuelle Windows-Hosts sorgen für ein deutlich geringeres Infektionsrisiko.
7.09.2021/dr

Tipps & Tools

Gefahrenabwehr im SOC [23.09.2021]

Keine Technologie schützt gegen alle Bedrohungen. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Analysten gegenüberstehen. Sicherheit braucht Experten, die proaktiv Gefahren suchen und Lücken schließen sowie im Ernstfall unterstützend eingreifen. Wie die Spezialisten vorgehen und welche Anforderungsprofile Unternehmen an sie stellen können, zeigt unser Fachartikel über Security Operation Center und ihren Mehrwert gegenüber MDR oder MSPs. [mehr]

Vorschau Oktober 2021: Endpoint Security [20.09.2021]

Die Rechner der Mitarbeiter stehen an vorderster Front in Sachen IT-Security. Im Oktober-Heft befassen wir uns deshalb mit dem Schwerpunkt "Endpoint Security". Darin zeigen wir unter anderem, wie Sie Bedrohungen mit Windows Defender ATP abwehren und Bitlocker mit der PowerShell steuern. Außerdem werfen wir einen Blick auf neue Security-Ansätze für Unternehmen sowie aktuelle Sicherheitsempfehlungen des BSI. Linux-User erfahren derweil, wie sie SELinux richtig einsetzen. In den Produkttests schauen wir uns unter anderem mit KnowBe4 eine Plattform für Phishing-Tests zur Mitarbeiterschulung an. [mehr]

Fachartikel

Gefahrenabwehr im SOC [22.09.2021]

Keine Technologie schützt gegen alle Bedrohungen. Solange menschliche Hacker eine Lücke in der Abwehr finden, müssen ihnen menschliche Cyber-Security-Analysten gegenüberstehen. Sicherheit braucht Experten, die proaktiv Gefahren suchen und Lücken schließen sowie im Ernstfall unterstützend eingreifen. Wie die Spezialisten vorgehen und welche Anforderungsprofile Unternehmen an sie stellen können, zeigt der Fachartikel über Security Operation Center und ihren Mehrwert gegenüber MDR oder MSPs. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen