{"id":265328,"date":"2022-05-15T00:14:00","date_gmt":"2022-05-14T22:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265328"},"modified":"2023-04-11T07:10:32","modified_gmt":"2023-04-11T05:10:32","slug":"info-stealer-kampagne-zielt-auf-deutsche-autohuser","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/15\/info-stealer-kampagne-zielt-auf-deutsche-autohuser\/","title":{"rendered":"Info-Stealer-Kampagne zielt auf deutsche Autoh&auml;user"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=24501\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitspezialisten von Check Point Software Technologies sind auf eine ein Jahre lang laufende und gezielte Cyber-Angriffskampagne gesto\u00dfen, die auf deutsche Autoh\u00e4user und Autohersteller als Deckmantel abstellt. Ziel der Attacken war es, verschiedene Arten von Malware zum Diebstahl von Informationen einzusetzen. Die Akteure hinter der Aktion registrierten zun\u00e4chst mehrere \u00e4hnlich aussehende Domains, die allesamt existierende deutsche Autoh\u00e4user imitierten. Die Domains wurden sp\u00e4ter zum Versenden von Phishing-E-Mails und zum Hosten der Malware-Infrastruktur verwendet. Check Point verfolgte die Malware zur\u00fcck und stie\u00df dabei auf eine iranische Website, die als Hosting-Site verwendet wurde und nicht von einer Regierung betrieben wird.<\/p>\n<p><!--more--><\/p>\n<p>Die Angreifer richteten zuerst Mailserver mit eigenen Dom\u00e4nen ein und nutzten diese f\u00fcr den Versand von E-Mails. Diese sollten Aufmerksamkeit erregen, indem sie auf verschiedene Autoangebote hinwiesen. Den E-Mails f\u00fcgten sie Dokumente wie Vertr\u00e4ge und Quittungen bei, die sich auf die angeblichen Gesch\u00e4fte bezogen. Diese HTA-\u201eDokumente\" wurden in ISO\/IMG-Dateien archiviert. Sobald sie angezeigt wurden, luden die Bedrohungsakteure Malware herunter und f\u00fchrten sie auf dem Computer der Zielpersonen aus, um Informationen zu stehlen.<\/p>\n<p>Die Identit\u00e4t der Drahtzieher hinter dem Angriff ist in diesem Fall nicht klar. Check Point Research fand gewisse Verbindungen zu iranischen nichtstaatlichen Organisationen. Aber es ist unklar, ob es sich um legitime Websites handelte, die kompromittiert wurden, oder ob es eine tiefere Verbindung zu dieser Operation gibt.<\/p>\n<h2>Beispiel einer b\u00f6sartigen E-Mail:<\/h2>\n<p>Eine E-Mail, die von kontakt@autohous-lips[.]de empfangen wird, gibt sich als ein bestehendes Unternehmen mit dem tats\u00e4chlichen Domainnamen autohaus-lips[.]de aus. F\u00fcr einen Nicht-Deutschsprachigen ist es keine leichte Aufgabe, eine \u00fcberzeugende E-Mail, einen Vertrag oder eine Quittung zu formulieren, die f\u00fcr einen Muttersprachler authentisch erscheint. Viele Angriffe sind bereits in diesem Stadium erkennbar und scheitern an der \"Social Engineering\"-H\u00fcrde.<\/p>\n<p><img decoding=\"async\" title=\"Fake Autohaus-Seite\" src=\"https:\/\/i.imgur.com\/oKxnw2Q.png\" alt=\"Fake Autohaus-Seite\" \/><br \/>\nFake Autohaus-Seite<\/p>\n<p>\"Wir haben einen gezielten Angriff auf deutsche Unternehmen, haupts\u00e4chlich Autoh\u00e4ndler, entdeckt. Die Angreifer nutzen eine umfangreiche Infrastruktur, die darauf ausgelegt ist, bestehende deutsche Unternehmen zu imitieren.\", stellt Yoav Pinkas, Sicherheitsforscher bei Check Point Software, fest. \"Die Angreifer verwenden Phishing-E-Mails mit einer Kombination von ISO\\HTA-Nutzdaten, die Opfer mit verschiedenen Malware-Programmen infizieren und Informationen stehlen, wenn sie ge\u00f6ffnet werden. Schl\u00fcssige Beweise f\u00fcr die Motivation der Angreifer haben wir nicht, wir glauben aber, dass es um mehr als nur um das Abgreifen von Kreditkartendaten oder pers\u00f6nlichen Informationen ging. Die Ziele wurden sorgf\u00e4ltig ausgew\u00e4hlt, und die Art und Weise, wie die Phishing-E-Mails versendet wurden, erm\u00f6glichte eine Korrespondenz zwischen den Opfern und den Angreifern. Eine M\u00f6glichkeit ist, dass die Angreifer versuchten, Autoh\u00e4user zu kompromittieren und deren Infrastruktur und Daten zu nutzen, um Zugang zu sekund\u00e4ren Zielen wie gr\u00f6\u00dferen Lieferanten und Herstellern zu erhalten. Das w\u00e4re n\u00fctzlich f\u00fcr BEC-Betrug (Business, E-Mail, Compromise) oder Industriespionage.\"<\/p>\n<p>Die Identifikation gelang den Experten dabei unter anderem durch die Analyse der Gestaltung und der Wortwahl im Mailverkehr: \"Das Social Engineering erregte unsere Aufmerksamkeit, z. B. wie die Bedrohungsakteure die Unternehmen ausw\u00e4hlten, als die sie sich ausgaben, und auch die Formulierung der E-Mails und der angeh\u00e4ngten Dokumente. Bei dieser Art von Angriffen geht es vor allem darum, den Empf\u00e4nger von der Echtheit des K\u00f6ders zu \u00fcberzeugen. Der gleichzeitige Zugang zu mehreren Opfern verschafft dem Angreifer einen erheblichen Vorteil. Wenn zum Beispiel zwei Ihrer Subunternehmer unabh\u00e4ngig voneinander \u00fcber ein bereits bekanntes Thema oder ein Gespr\u00e4ch berichten, das die Zielpersonen mit ihnen gef\u00fchrt haben, verleiht das ihrem Ersuchen eine viel gr\u00f6\u00dfere Glaubw\u00fcrdigkeit.\" Alle Einzelheiten zur Info-Stealer Kampagne hat Check Point in <a href=\"https:\/\/web.archive.org\/web\/20230127135003\/https:\/\/blog.checkpoint.com\/2022\/05\/10\/a-german-car-attack-on-german-vehicle-businesses\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitspezialisten von Check Point Software Technologies sind auf eine ein Jahre lang laufende und gezielte Cyber-Angriffskampagne gesto\u00dfen, die auf deutsche Autoh\u00e4user und Autohersteller als Deckmantel abstellt. Ziel der Attacken war es, verschiedene Arten von Malware zum Diebstahl von Informationen einzusetzen. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/15\/info-stealer-kampagne-zielt-auf-deutsche-autohuser\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-265328","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265328","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265328"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265328\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}