Hacker tarnen sich als Rüstungsfirma und tricksen Antiviren-Programme aus
Angreifer nutzten die Gunst der Stunde und verschickten im Zuge einer Firmenübernahme als Willkommensnachricht getarnte Phishing-Mails, um mit einer raffinierten Methode Schadcode auf die Computer von Angestellten zu schmuggeln.
(Bild: dpa, Jochen Lübke)
Der US-Rüstungskonzern Raytheon will die Netzwerk-Sicherheits-Firma Websense für 1,9 Milliarden US-Dollar zum Großteil aufkaufen. Kurz nach der Bekanntgabe des Plans erhielten Websense-Mitarbeiter unter dem Deckmantel der Firmenübernahme Phishing-Mails. Die vermeintliche Willkommens-Mail stammte von der Raytheon.com-Domain und hatte auf den ersten Blick unverdächtige Dateien im Anhang.
Um sich möglichst unbemerkt auf Firmen-Computern einzuschleichen, setzen die Hacker auf eine DLL-Sideloading-Attacke. Dabei bauen sie auf das Zusammenspiel des Kaspersky-Installers im Anhang der Phishing-Mail und einer DLL-Bibliothek. Dabei wird der ausführbaren Kaspersky-Datei die bösartige DLL-Datei untergeschoben, die sich im gleichen Verzeichnis befindet. Zum Zeitpunkt des Angriffs war der Kaspersky-Installer mit einem gültigen Zertifikat versehen, erregte also keinen Verdacht. Das Zertifikat wurde mittlerweile für ungültig erklärt.
Postwendend verankert sich die Malware in der Registry von Windows, schickt DNS-Anfragen an eine von den Angreifern kontrollierte Domain und kommuniziert mit einem Server über einen nicht verschlüsselten Kanal.
Der Angriff scheint Websense zufolge nicht erfolgreich gewesen zu sein. Das sei vor allem auf die Unglaubwürdigkeit der Phishing-Mail zurückzuführen, die aufgrund von Schreibfehlern und dem Fehlen des offiziellen Brandings von Raytheon die Alarmglocken der Mitarbeiter schrillen ließ. Bei weiteren Untersuchungen von Websense stellte sich heraus, dass die Absenderadresse der Phishing-Mail manipuliert war und die Nachricht von einer japanischen Domain stammte. (des)
