BSI: Angriffe über Mail, Flash und Internet Explorer

Das Bundesamt für die Sicherheit in der Informationstechnik meldet in seinem aktuellen Lagebericht massive Spam-Wellen. Obwohl Spam insgesamt zurückgeht, nehmen gezielte Angriffe zu.

Trojaner-Spam
Mit falschen Telefonrechnungen und Paket-Benachrichtigungen sollte der Trojaner Geodo auf Zielrechnern installiert werden. Daneben kamen gefälschte Lebensläufe, verschleiertes JavaScript und Downloader zum Einsatz, um Schadprogramme flexibel nachladen zu können. Da Mailprogramme heute HTML-Seiten darstellen und JavaScript ausführen können, ist das ein geeigneter Angriffsvektor. Der Schadcode enthält in diesem Fall eine zufällige Zeichenfolge, um die Hash-basierte Erkennung zu erschweren. Im Hintergrund wurde bei diesem Angriff der Andromeda-Downloader als Bild getarnt einem Webserver untergeschoben, von dort heruntergeladen und als ausführbare Exe-Datei gespeichert.  

Geodo taucht schon seit längerer Zeit alle paar Wochen wieder auf. Die Mails enthalten Links auf kompromittierte Webserver, von denen dann Malware nachgeladen wird. Vielleicht arbeitet die dahinter stehende Bande in Projektphasen: Vorbereitung, Versand, Ausbeutung der kompromittierten Daten, Urlaub auf den Bahamas – und dann wieder von vorne.  

Diese Browser-Statistik konnte das BSI von kompromittierten Webservern abrufen, die für die aktuelle Spam-Kampagne mit dem Geodo-Trojaner missbraucht wurden. Insgesamt wurden 92.478 Zugriffe verzeichnet. 

 E-Mail bleibt nach wie vor ein wichtiger Infektionsweg für Schadprogramme. Es wurden umfangreiche Versandwellen am 2. und 17. Februar beobachtet. Die meistverschickten Trojaner waren dabei TR/Patched.Ren.Gen1, TR/Crypt.Xpack.108465 und  TR/Spy.A.5957. Es tauchen zunehmend schädliche Mails in deutscher Sprache auf.  

Malware
Adobe Flash wurde vom Exploit-Kit „Angler“ mit heruntergelassenen Hosen erwischt: Der Drive-by-Angriff konnte ungepatchte Lücken ausnutzen. Daneben hat es „Angler“ auch auf den Microsoft Internet Explorer abgesehen. 

In Googles Playstore hat der Antiviren-Hersteller Avast einige gut versteckte Trojaner mit Adware und Scareware-Funktionen enttarnt. Die Schadfunktionen werden dabei mit erheblicher Verzögerung aktiviert, was die Erkennung erschwert. Diese Apps sind teilweise sehr verbreitet, so wurde eine befallene Variante des Kartenspiels „Durak“ fünf Millionen mal heruntergeladen. 

Phishing
Die Versender von Phishing-Mails verabschieden sich mehr und mehr von breit gestreuten Spam-Kampagnen. Statt dessen kaufen oder erbeuten sie hochwertiges Datenmaterial und verfeinern ihre Angriffe damit: So werden zunehmend Mails gemeldet, in denen der Adressat korrekt mit Vor- und Nachnamen angesprochen wird. Die Betrüger haben es auf Konten bei Shops und Banken abgesehen, unter anderem Amazon, Postbank und Deutsche Bank. Die gefälschten Mails sehen ihren echten Vorbildern sehr ähnlich. Die kriminelle Datenbasis entstammte in mehreren Fällen eindeutig dem Kundenverzeichnis gehackter Online-Shops. Da gut gemachte Phishing-Mails oft nicht ausgefiltert werden können, müssen die Benutzer darin geschult werden, echte von gefälschten Mails zu unterscheiden. Zudem empfiehlt sich ein internes Alarmsystem, um auf aktuelle Phishing-Kampagnen schnell hinweisen zu können. Zumindest eine E-Mail-Vorlage sollten Admins für solche Fälle bereithalten.  

Defacement
Wenn der eigene Webserver Terror-Propaganda verbreitet, dann liegt das gewöhnlich daran, dass er gehackt wurde. Meist verschaffen sich äußere Angreifer Schreibzugriff auf Web-Ordner, indem sie eine offene Sicherheitslücke in einer der eingesetzten Komponenten ausnutzen. Im vorliegenden Fall wurde das CMS WordPress mit Hilfe der anfälligen Komponente „RevSlider“ angegriffen. Da RevSlider oft als Teil anderer Komponenten eingesetzt wird, kann es sich ohne Wissen des Admins auf einem Webserver befinden. Zum Glück lassen sich solche Schäden meist schnell beseitigen: Dateien löschen, Updates einspielen – fertig. Zur Vorbeugung gehören drei Punkte: 

1. eine Bestandsaufnahme aller Web-Anwendungen 
2. Regelmäßige Updates 
3. Penetrationstests. 

Spam
Trotz der Spam-Wellen ging der Spam-Anteil am gesamten Mailaufkommen zurück: von Januar auf Februar 2015 von 77 auf 68 Prozent. Beworben wurden dabei meist Dating-Portale und Medikamente. Der Rückgang betrifft vor allem reinen Werbe-Spam, dagegen hat sich der Anteil von Spam mit Schadsoftware auf niedrigem Niveau von 1,6 auf 3,7 Prozent mehr als verdoppelt. 

Die fünf Länder, aus denen die meisten Spam-Mails kommen. Der große Bereich „Sonstige“ zeigt, dass Spam weit verteilt auf der ganzen Welt generiert wird. 

Das Thema „Liebe“ beflügelt seit jeher die Dichter und regt auch die Verfasser von Spam-Mails zu immer neuen Variationen an. Das liegt aber nicht am künstlerischen, sondern am finanziellen Potenzial des Themas, denn es wird damit für kostenpflichtige Dating-Portale geworben. 

Indirekt hat auch das zweitgrößte Spam-Thema mit der Liebe zu tun: Die hier beworbenen Medikamente sollen einerseits zum Vollzug der körperlichen Liebe befähigen (Potenzmittel) und andererseits über den Verlust vergangener Liebe hinwegtrösten (Antidepressiva). 

Angebote angeblich lukrativer, höchstwahrscheinlich aber illegaler Nebenjobs erreichten knapp fünf Prozent des Spam-Aufkommens. Dabei geht der Trend weg von konkreten Stellenangeboten hin zu allgemeineren Thema „lukrative Nebeneinkünfte“. 

19 Prozent der Spam-Mails ließen sich nicht zuordnen, viele davon entstammten anscheinend Testläufen oder Fehlbedienungen der Spam-Tools.