Hacker tarnen sich als RĂĽstungsfirma und tricksen Antiviren-Programme aus
Angreifer nutzten die Gunst der Stunde und verschickten im Zuge einer FirmenĂĽbernahme als Willkommensnachricht getarnte Phishing-Mails, um mit einer raffinierten Methode Schadcode auf die Computer von Angestellten zu schmuggeln.
(Bild: dpa, Jochen LĂĽbke)
Der US-Rüstungskonzern Raytheon will die Netzwerk-Sicherheits-Firma Websense für 1,9 Milliarden US-Dollar zum Großteil aufkaufen. Kurz nach der Bekanntgabe des Plans erhielten Websense-Mitarbeiter unter dem Deckmantel der Firmenübernahme Phishing-Mails. Die vermeintliche Willkommens-Mail stammte von der Raytheon.com-Domain und hatte auf den ersten Blick unverdächtige Dateien im Anhang.
Um sich möglichst unbemerkt auf Firmen-Computern einzuschleichen, setzen die Hacker auf eine DLL-Sideloading-Attacke. Dabei bauen sie auf das Zusammenspiel des Kaspersky-Installers im Anhang der Phishing-Mail und einer DLL-Bibliothek. Dabei wird der ausführbaren Kaspersky-Datei die bösartige DLL-Datei untergeschoben, die sich im gleichen Verzeichnis befindet. Zum Zeitpunkt des Angriffs war der Kaspersky-Installer mit einem gültigen Zertifikat versehen, erregte also keinen Verdacht. Das Zertifikat wurde mittlerweile für ungültig erklärt.
Postwendend verankert sich die Malware in der Registry von Windows, schickt DNS-Anfragen an eine von den Angreifern kontrollierte Domain und kommuniziert mit einem Server ĂĽber einen nicht verschlĂĽsselten Kanal.
Der Angriff scheint Websense zufolge nicht erfolgreich gewesen zu sein. Das sei vor allem auf die UnglaubwĂĽrdigkeit der Phishing-Mail zurĂĽckzufĂĽhren, die aufgrund von Schreibfehlern und dem Fehlen des offiziellen Brandings von Raytheon die Alarmglocken der Mitarbeiter schrillen lieĂź. Bei weiteren Untersuchungen von Websense stellte sich heraus, dass die Absenderadresse der Phishing-Mail manipuliert war und die Nachricht von einer japanischen Domain stammte. (des)
