Cyber Crooks speichert 10 Malware-Familien auf US-amerikanischen Webservern

Im April dieses Jahres stellte ein Cybersecurity-Unternehmen bei einer Überprüfung der verfügbaren Bedrohungsdaten fest, dass eine Reihe von Malware-Familien auf zehn US-amerikanischen Webservern gehostet werden. Die Akteure, die diese Bedrohungen besaßen, starteten auf den Servern auch Phishing-Angriffe, bei denen Social Engineering-Techniken ausgenutzt wurden, um Computer mithilfe von Microsoft Word-Dokumenten mit Malware zu infizieren. Die beschädigten E-Mail-Anhänge enthielten schädliche VBA-Makros (Visual Basic Applications), mit denen die gefährliche Nutzlast auf den Zielcomputer geladen wurde.

Die fraglichen Bedrohungsfamilien bestanden aus fünf Bank-Malware-Familien - Gootkit , Nymaim , IcedID , Trickbot und Dridex ; drei Gruppen von Datenklauern - Neutrino , Fareit und AZORult ; und zwei Ransomware-Stämme - Hermes und GandCrab . Oft diente eine Malware-Familie als Dropper für eine andere.

Die Forscher stießen im März 2019 auf einen der Server, auf denen Dridex gehostet wurde. Aus früheren Studien geht hervor, dass die Cyber-Gauner hinter Dridex seit 2016 das Botnetz Necurs für die Verbreitung der Malware verwenden, während einige Ähnlichkeiten zwischen den Dridex-Kampagnen und dem von Dridex bestehen Es wurden auch Kampagnen beobachtet, die einige der anderen Malware-Bedrohungen auslösten. Angesichts dieser Tatsachen stellten die Forscher die Hypothese auf, dass der Cybergang hinter Necurs die Webserver als Teil ihres Netzwerks für die Verbreitung von Malware nutzt. Diese Hypothese bezieht sich auch auf bestimmte Änderungen, die die Betreiber des Necurs-Botnetzes im Laufe der Jahre vorgenommen haben. Zum Beispiel wurden im Juni 2018 neue Funktionen zum Botnetz hinzugefügt, beispielsweise wurde Necurs plötzlich in die Lage versetzt, XMRig Crypto Miner bereitzustellen sowie schädliche Skripte per Push-Put zu übertragen, mit denen E-Mail-Adressen extrahiert werden konnten. Einige Monate später stellten Forscher fest, dass Necurs mithilfe von PUB-Dateien einen fehlerhaften Ammyy-Remotezugriffstrojaner verbreitet hatte.

Inzwischen sind auch neue Daten zu den Betreibern von Dridex aufgetaucht. Anscheinend haben die gleichen Angreifer im Januar 2018 einen Ransomware-Stamm namens FriedEx erstellt. Ein Jahr später fanden die Forscher heraus, dass Dridex, BitPaymer, Emotet und Ursnif alle mit einem ähnlichen Loader verwandt sind.

Regelmäßige Schulungsveranstaltungen für Mitarbeiter zum Erkennen von Phishing-E-Mails können Organisationen dabei unterstützen, ihre Systeme vor Malware-Bedrohungen zu schützen, die durch Spam-Kampagnen verbreitet werden. Ein weiteres Mittel zum Schutz ist ein Hebel-Tool wie ein VBA-Editor, mit dem in angehängten Microsoft Office-Dokumenten enthaltene Makrocodes extrahiert und analysiert werden können, die möglicherweise schädliche Nutzdaten enthalten.