Terror-Warn-E-Mails: gefälschte Nachrichten enthalten Schadcode

Die Spearphishing-Mails sollen zur Installation eines Fernzugriff-Trojaners verlocken. Die Kriminellen täuschen den Versand der E-Mails durch Ermittlungsbehörden vor, nutzen die Namen echter Behördenleiter und tragen im Betreff den Namen eines Mitarbeiters des Unternehmens ein, auf das der Angriff gerichtet ist.

Auf E-Mails mit Warnungen vor angeblich geplanten Terroranschlägen, die tatsächlich zur Installation von Fernzugriff-Trojanern verlocken sollen, ist jetzt Symantec gestoßen. Bis jetzt wurden solche bösartigen E-Mails vor allem an Firmen in den Vereinigten Arabischen Emiraten versandt. Ähnliche Attacken konnte die Sicherheitsfirma jedoch zuvor in Bahrain, der Türkei sowie kürzlich in Kanada beobachten. „Die Gruppe baut ihre Reichweite aus, und wir könnten neue E-Mail-Typen sehen, die auf weitere Länder zielen“, heißt es in einem Blogeintrag von Lionel Payet, Threat Intelligence Officer bei Symantec.

(Bild: Maksim Kabakou/Shutterstock)

(Bild: Maksim Kabakou/Shutterstock)

Die Verfasser der E-Mails geben sich dabei reichlich Mühe, um die Nachrichten als echt und vertrauenswürdig erscheinen zu lassen. Sie täuschen den Versand der Mails durch Ermittlungsbehörden vor und verwenden dabei die Namen leitender Mitarbeiter, die tatsächlich im Amt sind. Im Betreff fügen sie außerdem den Namen eines Mitarbeiters des Unternehmens ein, auf das der Angriff zielt.

Diese Spearphishing-Methode erfordert vorhergehende Recherchen der Angreifer. Im Visier der Cyberkriminellen sollen vor allem größere Unternehmen in Energiesektor, Rüstungswesen, Finanzwesen, Marketing und vertikalen IT-Märkten, aber auch Regierungsorganisationen sein.

„Wir haben eine Terrorwarnung, die Ihren Geschäftsbereich betrifft“, heißt es etwa in einer der bösartigen Mails. „Wir empfehlen Ihnen, Vorsichtsmaßnahmen zu ergreifen, wie sie in den beigefügten Sicherheitstipps aufgeführt sind, um Ihr Unternehmen und Ihre Familie vor Schaden zu bewahren.“ Angehängt ist neben einer PDF-Datei eine weitere Datei mit der Bezeichnung SECURITYTIPS2015.zip. Die PDF-Datei ist selbst nicht bösartig, sondern dient nur als Köder.

Die Malware ist in einem weiteren Anhang enthalten, einem JAR-Archiv. Die Analyse der Sicherheitsforscher ergab, dass es sich um einem Fernzugriff-Trojaner (Remote Access Tool, RAT) namens Jsocket handelt, der als Backdoor.Sockrat erkannt wird. Die Malware soll ein neues Produkt von den Schöpfern des AlienSpy RAT sein, das inzwischen nicht mehr zum Einsatz kommt.

[Mit Material von Bernd Kling, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Terror-Warn-E-Mails: gefälschte Nachrichten enthalten Schadcode

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *