Massive Malware-Attacke und wie Sie sich schützen
Aktuelle Malware-Massenattacke und wie Sie sich schützen
Unser Partner IKARUS Security Software beobachtet in den letzten 21 Tagen eine schon lange nicht mehr dagewesene Massenangriffswelle. Per E-Mail werden Kunden von IKARUS mail.security CS mit einer anscheinend „verbesserten“ Generation der Malware (Stichwort EMOTET) attackiert.
Was das Besondere an dieser Welle ist und wie Sie sich schützen können:
1. Betreff in Deutsch lokalisiert: also klassisch als Rechnung, Mahnung, Sicherheitsupdate u.a. Aber Achtung: Punkt 2!
2. Betreff personalisiert: ein bereits infizierter User beginnt ohne sein Wissen SPAM zu verschicken, der mit seinen Daten personalisiert ist. Das heißt zum Beispiel, dass sein Name und Vorname im Betreff des Mails verwendet werden, nach dem Muster „Mahnung Nr. xxxxx von Eduard Koch“. Dies erhöht die Wahrscheinlichkeit, dass man solche Mails liest, weil sie unter Umständen seriöser wirken oder von uns bekannten Absendern kommen:
3. Word-Dokument als Ausgang: Nach dem Motto „Totgeglaubte leben länger“: als Träger einer Infektion wird zu 99 % ein Word-Dokument verwendet, egal ob es als Anhang mitgeschickt wird (wahrscheinlich 90 % der Angriffe) oder per URL (Link) im E-Mail zum Download „angeboten“ wird.
4. Deutsche Firmen als Absender: Die Opfer wissen oft selbst nicht, dass sie die Malware verbreiten. Unser Support erhält täglich einige Beschwerden, meist von deutschen Firmen, die beklagen, dass wir ihre Mails an unsere Kunden vorläufig blockieren, und denen nicht bewusst ist, dass sie eben diese Malware versenden! Vereinzelt gehen solche Angriffsmails leider auch schon an die ersten österreichischen Firmen.
5. Modularer Aufbau der Malware: Das als Anhang versendete Dokument beinhaltet noch keine Malware in klassischem Sinne! Makros wie Java Script und PowerShell werden als Trojan-Downloader verwendet. Weitere Module werden erst in einem nächsten Schritt nachgeladen. Der Angriff passiert also nicht auf einmal, sondern stufenweise, was die Erkennung der Malware erschwert.
6. Angriffsszenario leicht veränderbar: Was mit dem aktuellen Word-Doku-Szenario nachgeladen wird, kann sich jederzeit ändern. Da die aktuelle Trojan-Downloader-Technik für den Hacker sehr leicht ist, kann man jedes Mal ein anderes Angriffsszenario umsetzen!
7. Ausbreitung im Netz ohne Useraktivität: Parallel zu Spamversand über den Account des Opfers lädt die Malware im nächsten Schritt ein „Brute Force Attack“-Modul. Mit diesem Modul versucht der Angreifer, andere Accounts im Firmennetzwerk zu knacken, um auch über diese die SPAM-Nachrichten zu verbreiten. Das heißt im schlimmsten Fall: Durch einen infizierten Mitarbeiter können sich auch andere User ohne Interaktion infizieren, wenn sie relativ schwache Passwörter verwenden.
8. Da die SPAM-Nachrichten zumindest zum Teil von den geknackten „echten“ Accounts verschickt werden, versagen einige klassische Schutzmechanismen wie zum Beispiel SPF Record.
9. Da die eigentliche Malware erst beim Opfer in mehreren Stufen nachgeladen wird und sich aus mehreren unterschiedlichen Modulen sowie verschiedenen Schadenseffekten zusammensetzen kann, ist eine Erkennung deutlich komplizierter. Auch wenn es sich bei den aktuellen Wellen hauptsächlich um Banking-Malware und Ransomware handelt, kann bei der Masse der Angriffe niemand vorhersagen, welches Schadenspotenzial noch von den Angreifern ausgehen wird.
Abhilfe - Anwender
Wie immer spielt neben der Technik auch die User Awareness eine große Rolle. Informieren Sie Ihre Anwender über die oben beschriebenen Szenarien: Word-Dokumente als Angriffsweg und die stark personalisiert wirkenden E-Mails, die aussehen, als kämen sie von einem Partner oder einem potenziellen Kunden.
Abhilfe - Technik
IKARUS findet aktuell sehr viele in Umlauf befindliche Varianten, zum Großteil mit den eigenen ScanEngines, zum Teil aber auch durch die im ScanCenter als multi APT Protection Add on eingebauten SANDBOXES von Fireeye und PaloAlto.
Die dringende Empfehlung von IKARUS lautet daher, zusätzlich zu IKARUS mail.security CS auch das Addon multi-APT Protection zu aktivieren, um effizient gegen die aktuellen Bedrohungsszenarien vorzugehen. Bedenken Sie, dass unter Umständen nur ein Klick und ein Mitarbeiter reichen, um die Malware im ganzen Unternehmen zu verbreiten.
Quelle: DI Christoph Barszczewski, IKARUS Security Software GmbH
![]() |
Gehen Sie auf Nummer sicher! Angesichts der aktuellen Bedrohung bietet IKARUS bis 31. Dezember 2018 für neue und bestehende mail.security CS-Accounts die Möglichkeit, zusätzlich zu mail.security das APT Add on zu Sonderkonditionen (-50 % auf den Listenpreis) aktivieren zu lassen. Sprechen Sie uns an! Jetzt vor Malware-Attacken schützen |