Sophos beschreibt eine komplexe neue Angriffstaktik, die Telefon- und E-Mail-Kommunikation verknüpft, um die Kontrolle über Unternehmensnetzwerke zu übernehmen und Daten abzuführen. Opfer wurde laut dem IT-Security-Anbieter ein nicht genanntes Schweizer Unternehmen. Die Malware lieferten die Kriminellen dabei auf äusserst ungewöhnliche Weise: ein Anrufer überzeugte das Angriffsziel via Telefon, eine E-Mail-Nachricht zu öffnen, die keinen Text enthielt, sondern als Grafik gestaltet war, um einer Outlook-E-Mail-Nachricht zu ähneln. So wurde letztlich der Download einer verlinkten bösartigen Electron-App ausgelöst.
Der Anrufer erklärte dem Mitarbeiter laut
Sophos, er sei ein Lieferfahrer mit einem dringenden Paket für einen der Standorte, aber niemand sei dort, um das Paket in Empfang zu nehmen. Er bat daher um eine neue Lieferadresse am Standort des Mitarbeiters. Um das Paket erneut zustellen zu können, müsse der Mitarbeiter ihm jedoch einen Code vorlesen, den die Versandfirma per E-Mail senden würde. Noch während der Anrufer am Telefon mit dem Mitarbeiter sprach, erhielt dieser die angekündigte E-Mail-Nachricht. Diese besagte wiederum, dass eine angehängte PDF-Datei den erforderlichen Code enthielt – löste jedoch in Wirklichkeit die anschliessende Angriffskette aus. Denn sowohl der Anhang als auch die Textnachricht waren nur statische Bilder. Unter Anleitung des Betrügers am Telefon klickte der Mitarbeiter auf das Bild, was zum Download der Malware führte.
Die Analysten des IT-Security-Anbieters konnten zudem nachvollziehen, dass die Angreifer den Anrufempfänger möglicherweise persönlich ins Visier genommen hatten und so eine aufwändige Social-Engineering-Angriffskette erstellten. Diese führte letztlich dazu, dass sie kurzzeitig die Kontrolle über den Computer des Mitarbeiters übernahmen, bevor dieser eingriff. Er zog alarmiert den Ethernet-Stecker aus dem kompromittierten Computer. Jedoch nicht mehr rechtzeitig, bevor die schädliche Nutzlast aktiv war. "Dieser Angriff war äusserst gezielt. An diesem Freitag war nur eine Person im Büro, und die Angreifer kannten wahrscheinlich die Identität dieser Person. Die Verwendung eines Bildes, das sich als E-Mail tarnt, ist ebenfalls etwas, das wir bisher nicht gesehen haben", erklärt Andrew Brandt, Principal Researcher bei
Sophos. Dieses Vorgehen sei clever gewesen. "Das Anhängen eines tatsächlichen PDF löst oft Alarm auf Systemen aus, da sie häufig zur Verbreitung von Malware verwendet werden, und E-Mails mit PDFs landen oft in Spam-Filtern."
Nach dem Eindringen in das Netzwerk nutzten die Kriminellen die Malware, um nach einer Vielzahl von Informationen zu suchen, einschliesslich Buchhaltungssoftware-Daten, Cookies, Browsing-Verlauf sowie Passwörtern und Kryptowährungs-Wallets. Der Mitarbeiter verhinderte jedoch schlimmere Folgen für sein Unternehmen durch das Ziehen des Steckers.
Nach dem Angriff auf das Unternehmen entdeckte Sophos einen weiteren Fall mit demselben Vorgehen gegen ein Unternehmen in Australien. Die dahinterstehende Gruppe steht noch nicht fest. Der Anbieter warnt jedoch davor, dass sie sehr wahrscheinlich nach wie vor aktiv sei.
(sta)
