amexphishing

Vor kurzem hat das Analysten-Team von AppRiver erneut eine Social Engineering-Kampagne beobachten können, die sich gegen Kunden von American Express richtet. Die massenhaft verbreitete E-Mail versucht die Adressaten dazu zu bewegen, hoch sensible Daten wie Sozialversicherungsnummer, Kreditkartennummern und andere PII (Personal Identifier)-Daten zu übermitteln, mit denen sich eindeutig auf eine bestimmte Person rückschließen lässt.

Der Inhalt besagt, dass American Express versucht hat, den betreffenden Kunden telefonisch zu erreichen. Grund sei die Anforderung eines Einmalpasswortes, um eine gewünschte Transaktion durchführen zu können. Diejenigen, die angeblich keinen Rückruf dazu erhalten haben, werden ersatzweise gebeten auf den in der E-Mail enthaltenen Link zu klicken. Wenig überraschend wird der Nutzer über den Link an eine kompromittierte Webseite weiter geleitet. Read More

office-365-logo

Konferenzschaltungen sollen das Geschäftsleben leichter machen. Herkömmliche Dienste dieser Art sind allerdings für kleine und mittelständische Unternehmen nicht selten mit hohen Kosten verbunden und meistens alles andere als einfach in der Nutzung.
Aus diesem Grund hat AppRiver jetzt als Teil seines Office-365-Angebots eine Dial-In-Konferenzlösung vorgestellt.

Kunden können mithilfe dieses Dienstes Konferenzschaltungen für Gruppen unabhängig von deren Größe aufbauen. Entweder auf dem Computer, dem Mobiltelefon oder über das Festnetz. Im Gegensatz zu den Kosten von Premium-Diensten fällt oft nur die Hälfte der sonst üblichen Beträge an. Der Service wird dabei direkt aus Tools wie Outlook-Desktop oder den Webclients heraus organisiert. Für AppRiver-Reseller ein weiteres Plus, denn sie können so eine weitere kritische Funktion innerhalb der Geschäftsprozesse einbinden. Das spart den betreffenden Endkunden nicht nur Kosten, sondern verbessert die Geschäftsprozesse als solche. Read More

zepto ransomware

Ransomware ist dieser Tage ziemlich populär. Ständig tauchen unzählige Varianten neu auf.

Eine der jüngsten erfolgreichen Kampagnen ist unter dem Namen Zepto bekannt geworden. Wir beobachten zahlreiche Dateitypen, die in Kampagnen dieser Art missbraucht werden. Dazu gehören Worddateien mit aktivierten Makros, .js Skript-Dateien, .wsf Windows-Skript-Dateien und so weiter. Jetzt haben wir aktuell ein Beispiel beobachten können, in dem ein eher wenig bekannter Dateityp verwendet worden ist, nämlich Dateien im .hta-Format.

Das Format ist an sich ein HTML-Format, das zusätzlich Browser-unterstütztes Skript enthält. Zwar haben wir auch in der Vergangenheit schon Kampagnen verfolgt, die diesen Dateitypus benutzen, er gehört aber nicht zu den gängigen. Die E-Mail-Nachrichten, um die es dabei geht sind wenig einfallsreich konzipiert und enthalten nicht viel mehr als die angehängte Zip-Datei. Trotzdem hat diese Vorgehensweise für Hacker einige Vorteile, insbesondere bei breit angelegten Kampagnen. Auf einen Copy-Text zu verzichten, erleichtert es beispielsweise Filtersysteme zu umschiffen. Man braucht auch keine überzeugende Geschichte, warum der Adressat nun unbedingt die Mail und den Anhang öffnen sollte.

In aller Regel können Angreifer immer noch darauf vertrauen, dass sich auch ohne ihre ausdrückliche Aufforderung genügend Neugierige finden, die auf den manipulierten Anhang klicken. Read More

Gestern Morgen haben die Analysten von AppRiver Phishing-Aktivitäten festgestellt, die einige interessante Weiterleitungen verwenden. Und zwar solche, die nicht allzu häufig zu beobachten sind. Die E-Mail selbst war unscheinbar und der Inhaltsteil leer, die einzige Besonderheit war die ziemlich lange Betreffzeile. Diese Kombination aus überlanger Betreffzeile, leerem Inhalt und die Absender- / Antworten-Information sollten bereits sämtliche Alarmglocken läuten lassen.

adobe spam

Nach dem Öffnen der PDF-Datei bekommt man ein relativ schlichtes Layout zu sehen, das bei vielen Phishing-Kampagnen vorkommt. Der Hintergrund ist unscharf. Die Nachricht fordert den Nutzer dazu auf bestimmte Schritte zu unternehmen, um die Datei ansehen zu können. Immer noch lassen sich ausreichend viele Nutzer  lieber von ihrer Neugier leiten als möglicherweise etwas zu verpassen. Das ist eine der üblichen Phishing-Methoden, die sogar noch häufiger bei Macro-Malware vorkommt. Das Thema haben wir schon einige Male beleuchtet: Eine der gerne verwendeten Vorgehensweisen ist es, den User zum Klicken auf Inhalte in Macro-Dateien zu verleiten, die die eigentliche Malware starten.

 

Bislang war 2016 bereits ein hohes Maß an Viren-Traffic unterwegs. Hauptsächlich Ransomware und vor allem Locky, der millionenfach über das Necurs-Botnet verbreitet wurde. Die Analysten von AppRiver haben an manchen Tagen Malware-Spitzen beobachten können, die bei 10 und mehr Millionen lagen. Auch Malware-Traffic unterliegt Fluktuationen mit den üblichen Höhen und Tiefen, während der letzten drei Wochen waren es aber fast nur Tiefen. Innerhalb der vergangenen drei Wochen erreichten die Zahlen Werte von 3 bis 10 Millionen Mails mit schadhaften Anhängen. Das ist, verglichen mit den letzten Monaten, ein ausgesprochen starker Rückgang. Das änderte sich gegen Mittag des 21. Juni an dem die Analysten einen plötzlichen, starken Anstieg beim Viren-Traffic verzeichnen konnten.

Necurs

Necurs 2

Innerhalb von nur wenigen Stunden stieg der Malware-Verkehr rasant an und erreichte an diesem Tag eine Rekordmarke von etwas mehr als 80 Millionen. Wie andere Firmen ebenfalls vermuteten, hängt das vermutlich damit zusammen, dass das Necurs-Botnet am 1. Juni im Wesentlich offline ging. Dieses Botnetz wurde für die riesigen Mengen der sich im Umlauf befindenden Locky- und Dridex-Malware verantwortlich gemacht. Das Botnet wurde allerdings nicht ausgehoben oder anderweitig außer Gefecht gesetzt, sondern es hat quasi seine Kontrollfunktion über infizierte Computer eingestellt. Mit den Locky-Aktivitäten, die wir aktuell beobachten, und verglichen mit den Szenarien, die wir erst vor kurzem erlebt haben, sieht es ganz so aus, als sei Necurs wieder erstarkt und zurückgekehrt. Ob es sich dabei eher um ein vorübergehendes Ärgernis handelt oder um die dauerhafte Rückkehr in die Zeiten der “Normalität” vor dem 1. Juni, bleibt  abzuwarten.
Was die Aktivitäten selbst betrifft, erscheinen mehrere unterschiedliche Dateien mit der Endung .js, die sich nur im Format leicht unterscheiden. Diejenigen, die wir auf VirusTotal überprüft haben, hatten einen Zugriff von 2/54. Das heißt, dass nicht allzu viele der Antivirenhersteller die Datei selbst abfangen. Das sagt aber noch nichts darüber aus, ob die Antiviren-Lösung nicht bei einer anderen von der betreffenden Malware durchgeführten Aktion getriggert wird.

So weit es bisher ersichtlich ist speist sich der Malware-Verkehr, der diesen enormen Anstieg verursacht hat, aus Regeln, die innerhalb der letzten 3 Monate hinzugefügt worden sind. Einige Treffer gehen darauf zurück, dass die Malware mit der Endung .js zurückliegenden Malware-Kampagnen und  Aktivitäten so sehr ähnelt, während andere Regeln, die vielleicht schon vor längerer Zeit hinzugefügt wurden, erst jetzt wirksam werden.

Der Versuch, dem Malware-Aufkommen wenigstens einen Schritt voraus zu sein und sich auf potenziell auftretende Varianten einzustellen, zahlt sich durchaus aus. Dann nämlich, wenn man in der Lage ist eine komplette Kampagne schon mit der ersten Nachricht aufzuhalten. Analysten beobachten den Traffic natürlich dahingehend, um neue Varianten und auftretende Veränderungen möglichst frühzeitig zu erkennen.

SecureTide-Kunden sind im Übrigen vor Aktivitäten dieser Art geschützt.