![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\")
Der europ\u00e4ische Security-Software-Hersteller ESET weist per Pressemitteilung auf eine zunehmende Anzahl zielgerichteter Angriffe per E-Mail auf Unternehmen des Finanzsektors hin. M\u00f6glicher Urheber sind die so genannten \u201eCarbanak\" Cyber-Bankr\u00e4uber. Sie hatten Ende letzten Jahres f\u00fcr Aufsehen gesorgt, als sie in den USA eine Milliarde US-Dollar erbeuteten.<\/p>\n
<\/p>\n
Die Kriminellen setzen in ihren Operationen auf zielgerichtete \u201eSpear Phishing\"-Attacken. Mitarbeiter von Banken werden dazu verleitet, Malware durch unbewusstes \u00d6ffnen schadhafter Dateianh\u00e4nge in die Unternehmensnetzwerke einzuschleusen. Diese Schadsoftware \u00f6ffnet den Angreifern dann T\u00fcr und Tor und erm\u00f6glicht ihnen den Zugang zu sensiblen Daten wie etwa Kreditkarteninformationen.<\/p>\n Ende August meldeten die Scanner der Antivirus- und Malware-Labors von ESET einen Angriff auf ein Casino in den USA. Der hierf\u00fcr genutzte Infizierungsvektor war mit gro\u00dfer Wahrscheinlichkeit eine Spear-Phishing-E-Mail mit sch\u00e4dlichem Anhang, der einen RTF-Exploit oder eine .SCR-Datei beinhaltete. Damit versuchten die Angreifer, die Server zu kompromittieren, die f\u00fcr den Zahlungsvorgang innerhalb des Casinos eingesetzt werden.<\/p>\n Als Backdoor nutzten die Gangster bislang zumeist die Open Source Software \u201eTiny Metepreter\" \u2013 in diesem Fall modifiziert durch einen Mechanismus zur Prozess-Injektion in die Datei \u201esvchost.exe\". Die \u201eTiny Meterpreter\"-Backdoor schleuste wiederum zwei verschiedene Malware-Familien in die Systeme des Casinos ein:<\/p>\n Ziel des Angriffs waren die Kassensysteme des Casinos, genauer: die Kreditkarteninformationen im Arbeitsspeicher der Systeme. Mit Win32\/Wemosis ist dar\u00fcber hinaus auch die Fernsteuerung der PoS-Systeme m\u00f6glich. Beide ausf\u00fchrbaren Programme wurden mit dem gleichen Zertifikat digital signiert.<\/p>\n Und beide finden sich auch in der dritten Malware-Familie wieder, die ebenfalls von der Gang genutzt wurde: Win32\/Spy.Agent.ORM<\/a>.<\/p>\n Win32\/Spy.Agent.ORM (auch bekannt als Win32\/Toshliph) ist ein Trojaner, den die Carbanak-Gruppe als First-Stage-Payload nutzt. Win32\/Spy.Agent.ORM ist eine kleine, simple Backdoor, durch die sich die Angreifer Zugang zu den Systemen ihrer Opfer verschaffen. Nach der Ausf\u00fchrung verbindet sich der Trojaner mit einem Command & Control-Server und erh\u00e4lt von diesem Befehle, Screenshots zu machen, laufende Prozesse aufzuz\u00e4hlen und Informationen \u00fcber das System sowie die Kampagnen-ID zu sammeln. Anhand dieser Informationen k\u00f6nnen die Drahtzieher erkennen, ob der infizierte Computer n\u00fctzlich ist.<\/p>\n Neben Casinos attackierten die Gangster in den USA auch Hotels. Die Angriffe konzentrierten sich dabei auf die Bundesstaaten Nevada, Kalifornien und New York. Au\u00dferhalb der USA registrieren die ESET Labors insbesondere in Deutschland und den Vereinigten Arabischen Emiraten die typische Malware, die von der Carbanak-Gruppe genutzt wird. Alarmierend ist, dass die Tendenz bei diesen Attacken deutlich ansteigt.<\/p>\n ESET registrierte zudem zahlreiche Angriffsversuche gegen russische und ukrainische Unternehmen \u2013 mit deutlichen Parallelen zu der Casino-Attacke in den USA. Hierbei wurden Spear-Phishing-E-Mails eingesetzt, die sch\u00e4dliche Anh\u00e4nge mit .SCR-Dateien oder RTF-Exploits enthielten.<\/p>\n Das BILD zeigt eine solche russische Spear-Phishing-Mail. Sinngem\u00e4\u00df steht hier:<\/p>\n \u201eAufgrund der hohen Volatilit\u00e4t des Rubel-Wechselkurses sendet die Zentralbank der Russischen F\u00f6deration Regeln f\u00fcr den Handel auf dem W\u00e4hrungsmarkt. Passwort f\u00fcr das Dokument: cbr.\"<\/p><\/blockquote>\n Alle Anh\u00e4nge wurden mit Icons des Adobe Acrobat Reader oder Microsoft Office getarnt und enthielten ein passwortgesch\u00fctztes Archiv mit einer .SCR-Datei. In anderen F\u00e4llen nutzten die Angreifer RTF-Dateien mit verschiedenen Exploits einschlie\u00dflich eines Exploits, der eine erst im Juni 2015 gefixte Schwachstelle in Microsoft Office ausnutzt (Sicherheitsl\u00fccke \u201eCVE-2015-1770\", wird mit Update MS15-059<\/a> gepatcht).<\/p>\n Die Angreifer gehen extrem zielgerichtet vor, was die absolute Zahl an Opfern vergleichsweise niedrig h\u00e4lt. An ihrer Gef\u00e4hrlichkeit \u00e4ndert das nichts. ESET r\u00e4t daher einmal mehr dazu, beim \u00d6ffnen von Dateianh\u00e4ngen stets vorsichtig zu sein. Um ein h\u00f6chstes Ma\u00df an Sicherheit zu gew\u00e4hrleisten, empfiehlt sich der Einsatz einer aktuellen Security-Software \u2013 sowohl privat als auch an verschiedensten Punkten von Unternehmensnetzwerken.<\/p>\n ESET gibt auf seinem Security-Blog WeLiveSecurity<\/a> weitere Einblicke in Details der genutzten Malware \u2013 dazu z\u00e4hlen Zertifikate, IP-Adressen der C&C-Server sowie Hash-Werte der schadhaften Dateien.<\/p>\n","protected":false},"excerpt":{"rendered":" Der europ\u00e4ische Security-Software-Hersteller ESET weist per Pressemitteilung auf eine zunehmende Anzahl zielgerichteter Angriffe per E-Mail auf Unternehmen des Finanzsektors hin. M\u00f6glicher Urheber sind die so genannten \u201eCarbanak\" Cyber-Bankr\u00e4uber. Sie hatten Ende letzten Jahres f\u00fcr Aufsehen gesorgt, als sie in den … Weiterlesen Der europ\u00e4ische Security-Software-Hersteller ESET<\/a> registriert laut Pressemitteilung eine zunehmende Anzahl zielgerichteter Angriffe auf Unternehmen des Finanzsektors. M\u00f6glicher Urheber sind die so genannten \u201eCarbanak\" Cyber-Bankr\u00e4uber. Sie hatten Ende letzten Jahres f\u00fcr Aufsehen gesorgt, als sie in den USA eine Milliarde US-Dollar erbeuteten. Zwar zeigen aktuelle Forschungsergebnisse, dass der Fokus der Gangster derzeit noch auf den Vereinigten Staaten liegt. Jedoch nehmen die Aktivit\u00e4ten in anderen Regionen deutlich zu \u2013 so auch in Europa. Ziel sind dabei vor allem Banken und andere Finanzinstitute.<\/p>\n
ESET registriert Attacke auf US-Casino in Las Vegas<\/h3>\n
\n
![\"\"](\"https:\/\/i.imgur.com\/sJwf0BU.jpg\")
<\/p>\nAchtung: Deutschland im Visier<\/h3>\n
Angriffe auch in Russland<\/h3>\n
Geringe Fallzahl \u2013 bei erfolgreicher Attacke aber gro\u00dfer Schaden<\/h3>\n