Aktuelles

08.08.2023
Seit gestern gibt es eine interessante Welle von Phishing-Mails. Darin behauptet der Absender im Namen des "Bundesministerium des Innern" folgendes:

Betreff: Bestätigen Sie Ihre Identität !

Sehr geehrter Kunde,

dies ist eine automatisierte E-Mail, die Sie über tägliche Sicherheitsupdates informiert.

Wir hoffen, dass für Sie alles in Ordnung ist. Im Rahmen unserer dauerhaften Maßnahmen zur Stärkung der Sicherheit der Bürger kontaktieren wir Sie im Namen des Bundesministeriums des Innern mit der Bitte um eine dringende Überprüfung Ihrer Identitätsdaten, insbesondere Ihres EU-Personalausweises.

Die Gewährleistung der Richtigkeit und Sicherheit Ihrer Daten ist für uns von größter Bedeutung.

...

Die Verifizierung soll über den dann folgenden Link gestartet werden:



Wir haben uns die nun folgende Webseite angeschaut und stellen hier Screenshots zur Verfügung.

Die Seiten sind Fake, es handelt sich um einen Versuch Ihre Ausweisdaten zu erlangen und für illegale Aktivitäten zu nutzen!

Im ersten Schritt sollen zunächst Vorder- und Rückseite des Ausweises hochgeladen werden:



Im nächsten Schritt möchten die Täter dann noch ein Video, in dem das Gesicht von allen Seiten zu sehen ist:



Sehr enttäuschend ist aus unserer Sicht, dass man nach dem Hochladen des Ausweises und des Videos wieder auf der Ausgangsseite landet. Schön wäre doch zumindest ein kleiner Dank gewesen.

Lassen Sie sich nicht täuschen und seien sie insbesondere bei der Verwendung Ihres Ausweises im Internet sehr vorsichtig!

Weitere Informationen über die Verwendung von Ausweisen im Online-Bereich finden Sie z.B. hier:
https://www.heise.de/hintergrund/Was-Sie-beachten-sollten-bevor-Sie-eine-Perso-Kopie-weitergeben-7464155.html

Ebenfalls gestern erreichten uns E-Mails, in denen ein vermeintlicher Anwalt wegen einer angeblichen Urheberrechtsverletzung ebenfalls die Verifizierung mit Ausweisdaten fordert. Der Betreff dieser E-Mails lautet:

Aktenzeichen 20035812 - Abmahnung aufgrund von Urheberrechtsverletzung

Auch hier steckt der Wunsch der Täter nach frischen Ausweisen dahinter.

Unterstützen Sie unsere Arbeit gerne weiterhin durch die Einsendung von Spam-Mails an unser sog. "Trojanerkonto", weitere Informationen finden Sie unter https://polizeilabor.de.

31.01.2023
Zur Zeit häufen sich die Berichte über Google Ads, die vorgeben eine legitime und nützliche Software als Download bereitzustellen (u.a. LibreOffice, gimp, OBS), aber tatsächlich eine schadhafte Datei enthalten, die nach dem Herunterladen und anschließender Ausführung Ihren Rechner mit Malware infiziert.

Was sind eigentlich Google Ads?

„…mit dem Dienst können Unternehmen und Werbetreibende Milliarden von Nutzern ansprechen, während diese z. B. Anfragen in der Google-Suche durchführen, Videos auf YouTube ansehen, neue Orte mit Google Maps erkunden, Apps auf Google Play entdecken oder Inhalte im Web durchforsten.“

Die beworbene Google Ad wird in der Regel innerhalb der Google-Suche ganz oben angezeigt.

Wie funktioniert das nun im Detail?
Sie sind auf der Suche nach einer bestimmten Software und benutzen hierzu die Google-Suchmaschine. Nehmen wir hier das Beispiel „gimp“. Nun kann es passieren, dass der erste Treffer eine Google Ad ist. Hier wird nun der oben beschriebene Dienst von kriminellen Akteuren missbraucht, indem legitime Webseiten täuschend echt kopiert werden und per Umleitung über eine meist ähnliche URL eine schadhafte Datei als Download bereitstellen.

Ziel ist es, Malware zu verbreiten, Zugangsdaten und sensible Informationen zu stehlen und im schlimmsten Fall komplette Systeme mit Ransomware zu verschlüsseln.

Hier wurde beispielsweise in einer Google Ad die Adresse https://www.gimp.org mit kyrillischen Ziffern täuschend echt dargestellt:



Nachdem die Google Ad angeklickt wird, erfolgt eine Weiterleitung zu der Fake-Webseite, die die schadhafte Software zur Verfügung stellt. In diesem Beispiel ist es http://www.gilimp.org:



In den meisten Fällen werden die legitimen Webseiten mit ähnlichen Namen dargestellt, d.h. es werden z. B. Ziffern vertauscht. Durch die Verwendung von Begriffen wie „official“ wird darüber hinaus ein authentischer Eindruck erzeugt. Softwareprojekte wie z. B. Anydesk, Notepad ++, OBS, VLC, Teamviewer, Rufus, gimp und LibreOffice sind nur wenige Beispiele, die für die aktuellen Malware-Kampagnen missbraucht werden.

Beispiel "Teamviewer":



Es sollen u. a. die Malware-Varianten „Aurora Stealer“, „IcedID“, „Raccoon Stealer“, "RedLine" und „Vidar Stealer“ über diese Methode verbreitet werden.

Einen bösartigen Befall mit einer solchen Malware könne im schlimmsten Fall zur Ausführung einer Ransomware führen:


Quelle:https://twitter.com/1ZRR4H/status/1616682530832252930

Google? Wieso werden diese Ads zuglassen und wie gelangt die Malware auf das System?

„Wenn Google feststellt, dass die Fake-Webseite (Landing Page) bösartig ist, wird die Kampagne blockiert und die Anzeigen werden entfernt, so dass Bedrohungsakteure in diesem Schritt einen Trick anwenden müssen, um die automatischen Prüfungen von Google zu umgehen.“

Laut Guardio und Trend Micro besteht der Trick darin, dass die Webseite, die über Google Ad angezeigt wird gutartig und irrelevant ist. Erst nachdem man die Anzeige anklickt, soll eine direkte Umleitung auf die bösartige Webseite erfolgen.

Der Download bzw. die schadhafte Datei soll vor allem im ZIP- oder MSI-Format (Microsoft Installer) verfügbar sein. Zudem sollen die schadhaften Dateien von seriösen File-Sharing – und Code-Hosting-Diensten wie GitHub, Dropbox oder dem CDN von Discord heruntergeladen werden. Somit könne eine Erkennung durch Antivirenprogramme erschwert werden.

Ablauf:

Quelle:https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e

Wie können Sie sich schützen?

• Aktivieren Sie innerhalb Ihres Browsers einen Ad-Blocker
• Angezeigte Ads sollten Sie ignorieren und etwas nach unten scrollen, um die offizielle Webseite zu sehen. Sollten Sie Zweifel haben, können Sie den Wikipedia-Eintrag zur gesuchten Software aufrufen
• Wird die Webseite der gewünschten Software häufiger besucht, können Sie diese als Lesezeichen markieren und können somit die offizielle Webseite immer direkt aufrufen. So kann eine Google-Suche vermieden werden
• Nutzen Sie zur Installation von Software den Microsoft Store
• Sollten Sie eine maliziöse Datei ausgeführt haben, benachrichtigen Sie bestenfalls unverzüglich Ihre IT-Abteilung und/oder zuständige Stelle/Person

Weitere Informationen und Links:
Analysen zu „Aurora-Stealer“, „IcedID“, „Raccoon-Stealer“, „RedLine“ und „Vidar-Stealer“ können in der Malpedia von Fraunhofer gefunden werden:
https://malpedia.caad.fkie.fraunhofer.de/details/win.aurora_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.icedid
https://malpedia.caad.fkie.fraunhofer.de/details/win.raccoon
https://malpedia.caad.fkie.fraunhofer.de/details/win.redline_stealer
https://malpedia.caad.fkie.fraunhofer.de/details/win.vidar

Detaillierter Ablauf Fake-LibreOffice:
https://www.malware-traffic-analysis.net/2023/01/18/index.html

Fachberichte:
https://www.bleepingcomputer.com/news/security/hackers-push-malware-via-google-search-ads-for-vlc-7-zip-ccleaner/
https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e

Quellen:
[1] Bleepingcomputer, "Hacker abuse Google Ads", 2022. [Online]. Verfügbar: https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-to-spread-malware-in-legit-software/.
[2] Bleepingcomputer, "Ransomware access brokers use Google Ads", 2023. [Online]. Verfügbar: https://www.bleepingcomputer.com/news/security/ransomware-access-brokers-use-google-ads-to-breach-your-network/.
[3] Google, Was sind Google Ads", 2023. [Online]. Verfügbar: https://ads.google.com/intl/de_de/getstarted/.
[4] Malware Traffic Analysis, "Abaluf Fake-LibreOffice", 2023. [Online]. Verfügbar: https://www.malware-traffic-analysis.net/2023/01/18/index.html.
[5] Guardio LabsGuard, "MasquerAds", 2022. [Online]. Verfügbar: https://labs.guard.io/masquerads-googles-ad-words-massively-abused-by-threat-actors-targeting-organizations-gpus-42ae73ee8a1e.
[6] Trendmicro "IcedID botnet loader", 2022. [Online]. Verfügbar: https://www.trendmicro.com/en_us/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware.html.

01.11.2022
Update am 02.11.2022

Die noch zuvor als kritisch eingestufte Sicherheitslücke in OpenSSL wurde nun leicht heruntergestuft.


https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/Update

Die durch den Patch behobenen schwerwiegenden Schwachstellen CVE-2022-3786 und CVE-2022-3602 betreffen den Punycode-Parser und erlauben jeweils einen Pufferüberlauf, der zu Nichtverfügbarkeit von Diensten und unter bestimmten Bedingungen zur Codeausführung genutzt werden kann. Die Schwachstellen betreffen das Parsen von EMail-Adressen in X.509-Zertifikaten nach der Zertifikatsvalidierung.

Weitere Informationen zu dem Update finden Sie auch unter heise.de
https://www.heise.de/news/OpennSSL-Update

Maßnahmen

• Da DoS-Attacken durchgeführt werden könnten, sollten die Updates je nach Verfügbarkeit für die entsprechenden Produkte und Betriebssysteme zeitnah eingespielt werden.
• Unter dem nachfolgenden Link können Sie überprüfen welche Produkte betroffen sein könnten. Zusätzlich können Sie dort Tools und Skripte einsehen, die zur Identifizierung betroffener OpenSSL Bibliotheken genutzt werden können.
https://github.com/NCSC-NL/OpenSSL-2022
• Wenn Sie in Niedersachsen als Unternehmen oder Behörde betroffen sind und die Lücke zu Ihrem Nachteil ausgenutzt wurde, melden Sie sich gerne bei uns.

Weitere Informationen und Links:
https://www.golem.de/news/tls-bibliothek-erste-kritische-luecke-in-openssl-seit-2016-braucht-update-2211-169380.html
https://www.zdnet.de/88404553/openssl-warnt-vor-kritischer-sicherheitsluecke/
https://www.datensicherheit.de/openssl-sicherheitsluecke-heartbleed

28.06.2022
"Es hat Sie erwischt!"- unter diesem Motto hat das Bundeskriminalamt (BKA) einen informativen Flyer für Unternehmen herausgebracht.

Der Flyer beschäftigt sich mit den Fragestellungen, die Firmen haben, wenn sie von Cybercrime betroffen sind, u.a.:

• Soll ich mich an die Polizei wenden?
• Was bedeutet das für mein Unternehmen?
• Was benötigt die Polizei von mir?
• Wird mein Betrieb noch weiter durch polizeiliche Maßnahmen eingeschränkt?
• An wen kann ich mich wenden?

Die aktuellste Version des Flyers und weiterführende Informationen finden Sie unter diesem Link: http://www.bka.de/ccunternehmen

01.06.2022
Was ist das überhaupt? Business E-Mail Compromise – kurz auch BEC genannt ist ein Phänomen, was immer häufiger auftritt. Dabei werden zum Beispiel Mail-Konten von Unternehmen kompromittiert und von den Tätern übernommen. Der Täter sammelt dann Informationen, um die Identität des eigentlichen Kontoinhabers der E-Mail-Adresse zu übernehmen. Business E-Mail Compromise kann durch verschiedene Vorgehensweisen realisiert werden:

• Rechnungsmanipulation:
  Hier sind häufig Unternehmen mit Lieferanten im Ausland betroffen. Gefordert werden Zahlungen oder Überweisungen auf ein Konto, welches den Betrügern gehört.
  
  
• CEO Fraud:
  Der Angreifer gibt sich als Geschäftsführerin oder Geschäftsführer eines Unternehmens aus und sendet eine E-Mail an den Mitarbeitenden. Dabei wird vorgegeben, dass es sich um eine dringliche Angelegenheit handelt, dass eine schnelle Überweisung von Nöten ist. Dieses Geld soll auf das Konto des Täters überwiesen werden.





• Account Compromise:
  Das E-Mail Konto von einem Angestellten oder eines Mitarbeitenden wird gehackt. Mit dem kompromittierten E-Mail Account werden per E-Mail Rechnungen oder Zahlungsforderungen an die E-Mail-Kontakte versendet.


• Attorney Impersonation:
  Der Täter gibt sich als Anwalt oder Vertreter einer Anwaltskanzlei für sensible Angelegenheiten aus. Häufig meldet derjenige sich am Ende eines Geschäftstages per Mail oder Telefon, wenn nur noch Mitarbeiter mit geringer Verantwortung im Büro sind.


• Payroll Scam:
  Hier werden E-Mails im Namen des vermeintlichen Geschäftsführers oder eines Mitarbeitenden an die Personalabteilung versandt. Dabei wird für die Gehalts- und Lohnzahlung eine Kontoänderung angezeigt, sodass das Geld auf ein Konto des Täters fließt.


• Data Theft:
  Hier werden Personal- und Buchhaltungsmitarbeitende kontaktiert, um persönliche und anderweitig vertrauliche Informationen über Mitarbeiter oder Führungskräfte zu erhalten. Diese Informationen werden für eine Anschlussstraftat verwendet (siehe CEO Fraud).

Wie kann man sich davor schützen?

• Überprüfen Sie E-Mails genau, häufig klingen die Absender ähnlich wie die legitime E-Mail-Adresse.
• Achten Sie auf Inhaltsmuster wie gebrochenes Deutsch bzw. Rechtschreibfehler. Halten Sie vor dem Öffnen von Anhängen Rücksprache mit dem Absender. Auch In den Anhängen von bekannten Absendern kann sich Malware befinden, welches das Einfallstor für Cyberkriminelle ist.
• Werden persönliche Informationen abgefragt oder geht es um Überweisungen? Lassen Sie sich nicht unter Druck setzen und rückversichern Sie sich mit der zuständigen Abteilung. Geben Sie keine vertraulichen Informationen heraus.
• Führen Sie ein Vier-Augen-Prinzip bei Überweisungen ein. Halten Sie ggf. Rücksprache mit der Geschäftsführung auf einem alternativen Kommunikationsweg.
• Weiter gibt es die Möglichkeit, eine Farbkodierung für E-Mails einzuführen. Dabei können interne E-Mails und externe E-Mails farblich unterschiedlich markiert werden. Es gibt auch die Möglichkeit, externe Mails mit einem Hinweis zu versehen.
• Sensibilisieren Sie ihre Mitarbeitenden für das Thema.

23.03.2022
Update vom 23.03.2022, 11:43 Uhr: Die Täter scheinen - entgegen der 1. Aussage - jeweils unterschiedliche Bitcoin-Adressen zu verwenden.
Update vom 28.03.2022, 14:06 Uhr: Betreff der E-Mail ergänzt.

Über unser Trojanerpostfach (trojaner@polizeilabor.de, Erklärung unter https://www.polizeilabor.de/) sind bei uns mehrere Meldungen zu Erpressungsnachrichten eingegangen. Diese werden offensichtlich über die Kontaktformulare von Webseiten versendet (u.a. auch Wordpress CMS) und haben den folgenden Inhalt:

Betreff: Ihre Website [URL DER WEBSEITE] wurde von ukrainischen Hackern gehackt.

Hallo. Wir sind ukrainische Hacker und wir haben Ihre Seite gehackt [URL DER WEBSEITE] Was wollen wir? Wir mochten, dass Sie bis zum 25. Marz eine Spende zur Unterstutzung der Ukraine in Hohe von 0,05 BTC an diese Bitcoin (BTC)-Wallet leisten, dies ist ein kleiner Betrag: bc1qyq6kv7crx9faaxds6fn97k67edkkefffe2zjnh Wenn Sie nicht spenden, erscheint auf Ihrer Website ein riesiges Vollbild-Banner, das alle Besucher Ihrer Website auffordert, der Ukraine zu helfen (Ihre Website wird nicht sichtbar sein, nur unser Banner). Wenn Sie es entfernen, werden wir aufgehangt Wenn Sie die Schwachstelle beheben, finden wir eine neue und hangen das Banner erneut auf.
Als letzten Ausweg lassen wir den Domainnamen-Registrar Ihre Domain dauerhaft sperren.

Ähnlich wie bei dem Phänomen "Sextortion" (Weitere Informationen unter: Link auf polizei-praevention.de), bei dem vorgegeben wird, dass Täter den PC kompromittiert haben, gehen wir auch in diesem Fall davon aus, dass es sich um eine leere Drohung handelt, d.h. die Täter haben keinen Zugriff auf die Webseite bzw. den Server.

Diese Einschätzung stützt, dass die Täter die Nachricht über das Kontaktformular verschiedener Webseiten-Systeme (CMS) senden- dies macht eine ausgenutzte Lücke unwahrscheinlich. Darüber hinaus sind die verwendeteten Kontaktformulare nicht mit einem CAPTCHA geschützt, d.h. es kann durch die Täter eine vollständige Automatisierung dieser Nachrichten erfolgen. Auch die große Anzahl an versendeten Nachrichten und der Inhalt der Mail lassen uns zu dem Ergebnis kommen, dass die Täter die Webseite nicht unter ihrer Kontrolle haben. So ist eine Sperrung einer Domain bei einem Provider unabhängig von einer Kompromittierung der Webseite und könnte gar nicht so einfach durchgeführt werden.

Verhaltenshinweise:

• Bezahlen Sie keine Bitcoins an die angegebene Adresse
• Seien Sie dennoch wachsam was Ihren Online-Auftritt und etwaige Änderungen betrifft
• Erstatten Sie ggf. Anzeige via Onlinewache

19.01.2022
Oft wundern wir uns, wie die Täter an die Daten von E-Mailkonten kommen, um dann einen CEO-Fraud oder eine Rechnungsmanipulation durchzuführen. Teilweise werden dafür schwache Kennwörter geknackt, Zugangsdaten durch Trojaner ausgespäht oder auch Passwort-Leaks verwendet, wenn Benutzer das gleiche Kennwort für einen kompromittierten Dienst und für ihr E-Mailkonto verwenden. Und wie kommen die Täter beispielsweise an Speicherplatz für weitere Phishing-Seiten oder ihre Malware-Kampagnen? Hier spielen natürlich Schwachstellen in installierten Softwareprodukten eine Rolle (beispielsweise eine Lücke in einem installierten Content-Management-System).

Eine weitere Möglichkeit möchten wir heute vorstellen: die klassische Phishing-Mail. Dabei in einer Variante, die insbesondere bei Firmen dazu führen könnte, dass Zugangsdaten zu Mailkonten oder Internetpräsenzen abfließen und in der Folge für Straftaten verwendet werden.

Wie funktioniert das nun im Detail?

Viele Firmen beauftragen einen Hoster für die Unternehmens-Domain, die Internetseite und darüber hinaus auch oft für die Verwaltung der E-Mailpostfächer. Es gibt natürlich zahlreiche Hosting-Anbieter, also nehmen Täter sich einen der größten in Deutschland und imitieren eine Benachrichtigungsmail dieser Firma bei der ein Problem mit der Abrechnung gemeldet wird:


Hallo, Die automatische Abbuchung Ihrer offenen Rechnung(en) ist fehlgeschlagen. Eine oder mehrere Zahlungsanweisungen konnten nicht ausgeführt werden. Bitte kontrollieren Sie Ihre Zahlungsdaten und führen Sie die Zahlungsanweisung erneut aus, damit die Abbuchung der fälligen Beträge erfolgen kann.

Der Betreff dieser E-Mails lautet beispielsweise:

• Wichtige Nachricht Kundenservice info@FIRMENNAME.de
• Ihr 1 & 1 wurde vorübergehend geschlossen
• Site Scan Sicherheitsmeldung
• SOFORTIGE VERIFIZIERUNG fur Ihr EMail-Konto erforderlich erforderlich
• Ihre Rechnung 100098322887 vom 18.01.2022 den Vertrag 85393978
• WARNUNG! Webmail GESPERRT
• ...

Besonders interessant bei dieser Variante ist, dass der Link in der E-Mail bereits mit der angeschriebenen E-Mailadresse versehen ist und somit auf der Phishingseite bereits die vermeintliche E-Mail der Firma eingetragen ist. In diesem Fall war das info@FIRMENNAME.de.

Die eigentliche Phishing-Seite liegt dann auf unterschiedlichen Servern in verschiedenen Ländern und ist daher bei genauem Hinsehen eigentlich schon am ungewöhnlichen Domainnamen erkennbar:



Allerdings ist sie optisch wie das Original gestaltet und verführt daher doch zur Eingabe des Kennwortes:



Werden hier nun Zugangsdaten eingegeben und der Button "Login" betätigt, erfolgt eine Umleitung zur originalen IONOS-Seite des Webmailers, ebenfalls mit der Vorbelegung der E-Mailadresse. Ihre Zugangsdaten sind jetzt allerdings bereits in den Händen der Täter und können ab jetzt missbraucht werden!

Wie können Sie sich schützen?

• Informieren Sie die zuständigen Kolleginnen bzw. Kollegen bei welchem Provider Sie Ihre Webseiten hosten und zu welchen Konditionen
• Loggen Sie sich bei gemeldeten Problemen mit dem Hoster immer direkt über die Eingabe der URL im Browser ein, bei IONOS wäre die korrekte Adresse des Webmailers: https://mail.ionos.de
• Wenn Sie den Verdacht haben, dass jemand aus Ihrer Firma auf der Phishing-Seite die Zugangsdaten eingegeben hat, ändern Sie diese umgehend!
• Senden Sie verdächtige E-Mails gerne an unser sog. Trojaner-Konto, erreichbar unter: mailto:trojaner@polizeilabor.de und helfen Sie mit, andere Internetnutzer zu warnen
• Wenn Daten eingegeben und missbraucht worden sind, erstatten Sie Anzeige über die Onlinewache oder über die ZAC

05.11.2021

Seit kurzer Zeit beobachten wir eine neue Angriffswelle mit der Schadsoftware QakBot, die als Nachfolger der Malware Emotet gesehen wird.

Bemerkenswert dabei: Ein Angriffsweg führt dabei über die eigentlich schon längst geschlossene ProxyShell-Lücke in Microsoft-Exchange Servern. Über diese Lücke wird Zugriff auf Mailpostfächer des Exchange-Systems genommen und in der Folge dann schadhafte E-Mails versendet. Interessant ist in diesem Zusammenhang, dass bei diesem Verbreitungsweg eventuell vorhandene Anti-Malware Appliances einfach übergangen werden, da die Mails an diesen vorbeilaufen.

In den Mails befindet sich eine bekannte E-Mailkommunikation, die den Empfänger dazu bringen soll, den enthaltenen Link oder einen ZIP-Anhang zu öffnen. Hinter den Verlinkungen oder den Anhängen verbergen sich Office-Dokumente (in unseren Beobachtungen Excel-Tabellen mit der Endung *.xls), die beim Öffnen und Aktivierung der aktiven Inhalte zum Herunterladen der Payload (QakBot) von verschiedenen Servern führt.

Teilweise wurde darüber hinaus festgestellt, dass die Office-Dokument beispielsweise von Microsoft Defender nicht als schadhaft erkannt werden.

Auch das BSI warnt am 04.11.2021 vor dieser neuen Welle und zeigt entsprechende E-Mails:

Empfohlene Maßnahmen:

• Prüfen Sie Ihre Exchange-Systeme auf aktuelle Patches und die Absicherung gegen die ProxyShell-Lücke
• Untersuchen Sie Ihr Netzwerk auf Befall mit QakBot indem Sie auf die unten genannten IOCs prüfen
• Prüfen Sie Ihr Netzwerk auf verdächtige Aktionen (beispielsweise Starten von Prozessen auf Serversystemen mit administrativen Rechten, Anlegen von Benutzern im Active Directory)
• Prüfen Sie auf das Vorhandensein von Backups und sichern sie diese gegen unberechtigten Zugang (Offline-Backup)

Weitere Informationen und Links:

Ausführliche Analysen von QakBot:
https://securelist.com/qakbot-technical-analysis/103931/
https://blog.talosintelligence.com/2021/10/squirrelwaffle-emerges.html

Detaillierte Beschreibung von QakBot hinsichtlich Wirkungsweise und Persistierung:
https://attack.mitre.org/software/S0650/

Weitere Analysen können in der Malpedia von Fraunhofer gefunden werden:
https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot

Bei URLhaus können über die Stichwortsuche nach "QakBot" entsprechende Serversysteme selektiert werden, die QakBot verteilen bzw. als C2-Server eingesetzt werden:
https://urlhaus.abuse.ch/browse/tag/Qakbot

Eine ausführliche Liste mit QakBot IOCs findet sich unter:
https://github.com/executemalware/Malware-IOCs

05.10.2021
Im englischsprachigen Raum ist die hier geschilderte Variante des Betruges schon länger bekannt. Jetzt sind die ersten Fälle auch in Deutschland bekannt geworden und veranlassen uns, diese Warnmeldung zu veröffentlichen.

Worum geht es? Im Prinzip handelt es sich beim sog. Payroll-Scam um eine Variantes des sog. Social-Engineerings. Ein Täter informiert sich zunächst über die Abteilungen und den Aufbau einer Firma im Internet (z.B. bei Xing, Linkedin oder Facebook) und schreibt unter dem Namen eines real existierenden Mitarbeitenden die Personalabteilung an. Als E-Mailadresse verwendet der Täter einfach eine frisch eingerichtete Adresse von GMail oder einem anderen Anbieter mit dem Namen des Mitarbeitenden.

Der Inhalt der Mail lautet dann ungefähr so oder zumindest ähnlich:
Hallo ,
Ich habe die Bank gewechselt und möchte meine Gehaltsangaben ändern. Wird diese Änderung vor
dem aktuellen Zahlungstermin wirksam?
Bleib sicher,
Vorname Nachname des Mitarbeiters

Wenn die Mitarbeiterin oder der Mitarbeiter der Personalabteilung auf diese Mail eingeht, wird vom Täter eine Bankverbindung mit der Bitte um schnelle Änderung mitgeteilt.

Verhaltenshinweise:

• Nehmen Sie immer über einen alternativen Kommunikationsweg, beispielsweise über eine intern hinterlegte Telefonnummer, Kontakt mit dem anfragenden Mitarbeitenden auf
• Vereinbaren Sie feste Kommunikationswege und Prozesse für die Änderung von wichtigen Daten Ihrer Mitarbeitenden
• Sollte es zu einem Schaden gekommen sein, erstatten Sie Anzeige bei Ihrer zuständigen Polizeidienststelle oder wenden Sie sich gerne an uns

16.06.2021
Zurzeit beobachten wir eine Spam-Kampagne, bei welcher Unternehmen im Namen einer (nicht-existierenden) Rechtsanwaltskanzlei angeschrieben werden.

Das Ziel der Kampagne scheint Informationsbeschaffung zu sein. Nach Ausführung des Skriptes werden Informationen zum Nutzer, dessen Computer und Netzwerk (inkl. Prozesse, Antiviren-Software und ggf. Domäne) gesammelt und an einen Command and Control Server gemeldet.
Solche Werkzeuge fungieren oft als "Vorläufer" für weitere Schadsoftware, d.h. sie schaffen den initialen Zugang zum Computer/Netzwerk, sammeln Informationen dazu und leiten diese aus. Anhand dessen können weitere Angriffe erfolgen.

Detaillierte Beschreibung
Die E-Mail enthält eine Passwort-geschützte ZIP Datei (das Passwort steht im Text der Mail), die angeblich eine Unterlassungserklärung ist. Diese ZIP Datei enthält wiederum eine JavaScript Datei (getarnt als PDF), die bei Ausführung Informationen unter Nutzung des Windows "cmd"-Befehls sammelt.
Die gesammelten Daten werden an einen Command and Control Server mittels HTTP-POST Request gesendet. Die Antwort des Servers wird ausgewertet, sodass über diesen Weg eine Erweiterung der Funktionalität des Skriptes möglich wäre (beispielsweise das Nachladen anderer Schadsoftware).
Persistiert wird sich über einen Startup Ordner Eintrag.

IoCs
Dateien (die uns übersandten Anhänge sind bislang alle identisch):

• SHA256: f7d32dacc13c20947e1e30833c1b1492179fd101748dc1fedbeff40d766f53f7

  AZ2066 Elektronische Zustellung.pdf.js

• SHA256: e27179f833231296d3e0cf41d418c6e8575c5382b1ed447de7fd27c4b2d65e7f

  AZ2066 Elektronische Zustellung.zip

Command and Control Server:
hxxps://rootpass[.]top/update[.]php

E-Mail:

• Absender: mitteilungen [at] drawingpartner [dot] com
• Betreff: AZ206/6 Elektronische Zustellung - Unterlassungserklärung