Microsoft warnt vor Banking-Trojaner-Angriffen über Kontaktformulare

Um die – auch hierzulande aktive – Banking-Malware IcedID zu verbreiten, nutzen Angreifer derzeit offenbar verstärkt den Umweg über Kontaktformulare.

In Pocket speichern vorlesen Druckansicht 54 Kommentare lesen

(Bild: Evdokimov Maxim/Shutterstock.com)

Lesezeit: 4 Min.

Microsoft warnt vor einer aktuellen Malware-Kampagne, in deren Zuge E-Mails über Kontaktformulare vor allem an Unternehmen verschickt werden. Unter einem falschen Vorwand sollen die Empfänger dazu gebracht werden, einen in den Mails enthaltenen Link anklicken, um sich letztlich den Banking-Trojaner "IcedID" einzufangen.

Ob die Drahtzieher hinter der aktuellen Kampagne speziell auch deutsche Nutzer im Visier haben, geht aus dem Eintrag in Microsofts Security-Blog nicht hervor. heise Security hat diesbezüglich bei Microsoft nachgefragt, aber noch keine Antwort erhalten. IcedID jedenfalls ist hierzulande kein Unbekannter: Der modular aufgebaute Trojaner wurde in der Vergangenheit unter anderem gern von Emotet nachgeladen, und auch in diesem Jahr haben Sicherheitsexperten bereits mehrfach vor dem Schädling gewarnt. Vorsicht ist somit in jedem Fall angebracht.

Die von Microsoft beschriebene Kampagne zielt auf Website-Betreiber aus dem Business-Bereich, die eine – dem Angreifer etwa aus einem Datenleck bekannte oder auch öffentlich, etwa als alternative Kontaktmöglichkeit, verfügbare – Gmail-Adresse besitzen, also einen Google-Account haben. Ist diese Voraussetzung gegeben, können sich die Angreifer einer doppelten Verschleierungstechnik bedienen.

Zunächst nutzen sie den Umweg des Kontaktformulars als vertrauenswürdig wirkenden Absender, um den Empfänger sowie auch Spam-Filtermechanismen in die Irre zu führen. In der jeweiligen E-Mail platzieren sie dann einen Link zum Webhosting-Dienst Google Sites (https://sites.google.com/(...)), wo sie zuvor Schadcode (oder einen Redirect zum Schadcode) hinterlegt haben. Sie konfigurieren Google Sites so, dass der Code nur unter Eingabe der Google-Zugangsdaten des Opfers (bzw. Zugangsdaten einer berechtigten Google-Gruppe) abgerufen werden kann. Dieser zusätzliche Authentifizierungs-Layer trägt laut Microsoft nochmals dazu bei, dass die E-Mail von Erkennungsmechanismen nur schwer als schädlich identifizierbar ist.

Google Sites kann man als öffentlich konfigurieren, alternativ aber auch ausgewählten Gmail-Adressen oder auch Google-Gruppen Zugriff gewähren.

(Bild: Screenshot)

Der hinterlegte Schadcode befindet sich in einem ZIP-Archiv und ist nochmals stark verschleiert; erst bei Ausführung dieses Codes wird letztlich IcedID nachgeladen. Zusätzlich wird laut Microsoft auch eine Komponente des (eigentlich legitimen) Penetration Testing-Tools Cobalt Strike (Beacon) installiert, mit der die Angreifer kompromittierte Systeme fernsteuern und sich weiter im Netzwerk ausbreiten können. Nach erfolgter Infektion können sie unter anderem Bank- und andere Daten exfiltrieren, aber auch weitere Malware nachladen.

Die von Microsoft beobachteten E-Mails enthalten Vorwürfe zu angeblich unrechtmäßig auf der jeweiligen Website verwendeten Bildern sowie die Behauptung, dass das bei Google Sites hinterlegte Dokument Beweise enthalte. Um den Druck auf die Opfer zu erhöhen, enthalten die Mails außerdem Drohungen zu möglichen rechtlichen Konsequenzen, wenn die fraglichen Bilder nicht entfernt würden. Als Beispiele für im Kontaktformular eingetragene E-Mail-Adressen nennt Microsoft mehrere auf .yahoo.com und aol.com endende Absender (mphotographer550, mephotographer890, mgallery487, mephoto224, megallery736 und mshot373).

Microsoft hat Beispiel-Mails aus der Malware-Kampagne veröffentlicht.

(Bild: Microsoft)

Microsoft geht angesichts des großen Umfangs der Kampagne davon aus, dass das Versenden der Mails möglicherweise automatisiert unter Verwendung eines Tools vonstatten geht, das Googles ReCAPTCHA-Mechanismen umgehen kann. Auf welche Weise dies geschieht, geht aus dem Blogeintrag nicht hervor; auch diesbezüglich haben wir bei Microsoft nachgefragt. Erst vor ein paar Monaten war die – schon in der Vergangenheit mehrfach gehackte – Audio-Version von ReCAPTCHA erneut erfolgreich von einem Forscher umgangen worden.

Unternehmen sollten laut Microsoft im Hinterkopf behalten, dass im Zuge künftiger, ähnlicher Kampagnen statt IcedID auch anderer Schadcode ausgeliefert werden könnte. Auch Wortlaut und Vorwand der per Formular verschickten E-Mails dürften künftig stark variieren.

(ovw)