[English]Aktuell setzen Cyberkriminelle Methoden der Steganografie ein, um bösartige PowerShell-Skripte über Bilddateien auszuliefern. Ziel ist es, Zugangsdaten von Mitarbeitern von Dienstleistungsfirmen aus dem Industriesektor zu stehlen. Unter den Opfern der von Kaspersky aufgedeckten Kampagne sind auch deutsche und europäische Firmen.
Anzeige
Angepasste Angriffe per Steganographie auf Industriesektor
Die Angreifer setzen Phishing-E-Mails mit Nutzlasten ein, die individuell gestaltet werden. Die Phishing-E-Mails (Nachrichten und Dokumente) werden für jedes Opfer in dessen spezifischer Sprache und mit angepassten Dokumenten erstellt. Und die Malware führte ihre Aufgaben nur auf Systemen aus, die dem Gebietsschema der E-Mail entsprachen. Bleeping Computer weist in folgendem Tweet auf diesen Sachverhalt hin.
Highly-targeted attacks on industrial sector hide payload in images – @Ionut_Ilascuhttps://t.co/rY3aOunMdr
— BleepingComputer (@BleepinComputer) May 29, 2020
Dabei kommt auch Steganografie zur Verteilung der Schadsoftware zum Einsatz. Bei der als Steganografie bezeichneten Technik laden die Angreifer Bilder auf Server von öffentlichen Hosting-Bilderdienste. Die Bilddateien enthalten die Malware und die Angreifer hoffen, beim Download der Dateien Netzwerkverkehrsscanner und Kontrollwerkzeuge täuschen bzw. umgehen zu können. Hier ein solches Bild, was eventuell in einer Phishing-Mail verlinkt ist.
Beispielbild mit Nutzlast
Anzeige
Die Angriffe begannen mit einer Phishing-E-Mail, die ein Microsoft Office-Dokument mit bösartigem Makrocode enthielt. Die Rolle besteht darin, ein anfängliches PowerShell-Skript zu entschlüsseln und auszuführen. Danach ermöglichen mehrere Parameter die Ausführung des Skripts in einem verborgenen Fenster (-WindowStyle Hidden). Das funktioniert unabhängig von der konfigurierten Richtlinie (-ExecutionPolicy Bypass) und ohne Laden der Benutzerkonfiguration (-NoProfile).
Der Zweck dieses initialen PowerShell-Skripts besteht darin, ein Bild von zufällig ausgewählten Adressen auf Imgur- oder Imgbox-Hostingdiensten herunterzuladen und mit dem Extrahieren der Nutzlast zu beginnen. Es wurden Opfer in mehreren Ländern (Japan, Grossbritannien, Deutschland, Italien) identifiziert. Einige von ihnen liefern Ausrüstungen und Softwarelösungen an Industrieunternehmen. Kaspersky beschreibt die Details des Angriffs in diesem Dokument, Bleeping Computer weist in obigem Tweet sowie in diesem Artikel auf diesen Sachverhalt hin.
Anzeige
"Neue Welle von Schadsoftware – Anstieg von Datenpannen in diesen Tagen aufgrund von Phishing Mails"
https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/neue-welle-von-schadsoftware-anstieg-von-datenpannen-in-diesen-tagen-aufgrund-von-phishing-mails/
Da könnte es einen Zusammenhang geben, diese Angriffe versenden Mails, die einen Downloadlink zu einer Zip-Datei beinhalten. Die ZIPs enthalten 2 grundverschiedene VBS Dateien, die dann die erste Arbeit übernehmen, um Emotet o.ä. auf den Rechner zu bringen. Die eine VBS-Variante wird auf gehackten WordPress-Servern vorgehalten, die andere auf dem Large File Transfer Portal von Firefox/Thunderbird. https://www.bleepingcomputer.com/news/security/hackers-tried-to-steal-database-logins-from-13m-wordpress-sites/