Dieser Artikel wurde zuletzt aktualisiert am 13.04.2021

Die Firma Microsoft warnt vor einer aktuellen Malware-Kampagne, in der E-Mails über Kontaktformulare auf Websiten, vor allem an Unternehmen verschickt werden. Der Empfänger soll unter einem falschen Vorwand dazu gebracht werden, einen Link anzuklicken, um sich dann den Banking-Trojaner „IcedID“ einzufangen.

1. Doppelte Verschleierung

Dieser Link führt zum Webhosting-Dienst Google Sites (https://sites.google.com/(…)), wo der Schadcode (oder ein Redirect zum Schadcode) hinterlegt ist. Die Betrüger haben Google Sites so konfiguriert, dass der Code nur unter Eingabe der Google-Zugangsdaten des Opfers (bzw. Zugangsdaten einer berechtigten Google-Gruppe) abgerufen werden kann. Dadurch ist laut Microsoft die E-Mail nur schwer von Erkennungsmechanismen als schädlich identifizierbar.

Der Schadcode ist in einer ZIP-Datei gespeichert und nochmals stark verschleiert; erst wenn der Code ausgeführt wird, wird letztlich IcedID nachgeladen. Zusätzlich wird laut Microsoft auch eine Komponente des (eigentlich legitimen) Penetration Testing-Tools Cobalt Strike (Beacon) installiert, mit der die Angreifer kompromittierte Systeme fernsteuern und sich weiter im Netzwerk ausbreiten können. Nach erfolgter Infektion können sie unter anderem Bankdaten und andere Daten exfiltrieren, aber auch weitere Malware nachladen.

2. Automatisiert verschickte Vorwürfe zu gestohlenen Bildern

Die von Microsoft beobachteten E-Mails enthalten Vorwürfe zu angeblich unrechtmäßig auf der jeweiligen Website verwendeten Bildern sowie die Behauptung, dass das bei Google Sites hinterlegten Dokument Beweise enthalte. Um den Druck auf die Opfer zu erhöhen, enthalten die Mails außerdem Drohungen zu möglichen rechtlichen Konsequenzen, wenn die fraglichen Bilder nicht entfernt würden. Als Beispiele für im Kontaktformular eingetragene E-Mail-Adressen nennt Microsoft mehrere auf .yahoo.com und aol.com endende Absender (mphotographer550, mephotographer890, mgallery487, mephoto224, megallery736 und mshot373).

Quelle: heise online

0 Kommentare

Hinterlasse ein Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.