GDATA-Security-Blog: Neuer Dridex-Infektionsvektor identifiziert

/in , /von

Heute empfehlen wir zur Lektüre einen aktuellen Eintrag im Blog unseres Hersteller-Partners GDATA:

Die Entwickler des Banking-Trojaners nutzen zum Infizieren von Systemen einen Microsoft Office-Trick und einen legitimen Service

22.06.2015  | Autor: Paul Rascagnères

Malware-Entwickler sind manchmal recht kreativ, um zum einen ihre Zielpersonen zu manipulieren und zum anderen Sicherheitsprodukte zu umgehen. Die Experten von G DATA SecurityLabs analysierten ein speziell manipuliertes Microsoft Word-Dokument, das die Angreifer für die Installation des ziemlich bekannten Banking-Trojaners Dridex nutzen. Dieses bösartige Dokument stellt eine Verbindung zu einer völlig legitimen Website her, um die letztendliche Payload herunterzuladen. Wir gehen davon aus, dass diese beiden Elemente ausgewählt wurden, um Sicherheitsprodukte auszutricksen. Die Infektion, Schritt für Schritt erklärt.

Schritt 1:

Die Spam-Kampagne Diese Infektion begann mit einer Spam-E-Mail, also einer Methode, die wir schon unzählige Male gesehen haben. Der Inhalt der E-Mail besagt, dass eine Vertriebsabteilung den Empfänger über einen Auftrag informiert, den dieser angeblich selbst erteilt hat und der nun bearbeitet wird. Die entsprechende gefälschte Rechnung, ein Microsoft Office-Dokument, ist an die E-Mail angehängt.

Schritt 2:

Öffnen des Microsoft Office-Dokuments Der Name des Dokuments lautet YU96260LFZ.doc SHA256 e2d878a43607c04f151052e81a560a80525a343ea4e719c3a79e1cc8c45e47c5 Die Dateinamenerweiterung lässt darauf schließen, dass es sich bei der Datei um eine .doc-Datei handelt. In Wirklichkeit ist das Dokument jedoch ein MHTML-Dokument. Dabei handelt es sich um ein legitimes Archivformat für Webseiten. Dieser Standard wird von Microsoft Word mit der Erweiterung .mht unterstützt. Wir gehen davon aus, dass der Angreifer ursprünglich eine MHT-Datei erstellt und dann einfach die Dateinamenerweiterung in .doc abgeändert hat.

Angreifer nutzen gängige Dateierweiterungen für ihre Social Engineering-Angriffsversuche, da die Benutzer bekannte Dateitypen sorgloser öffnen. Zudem weisen MHT- und DOC-Dateien dasselbe Symbol auf, was die Datei bei den meisten Benutzern noch weniger verdächtig macht…

Lesen Sie den vollständigen Eintrag mit weiteren Schritten und Tipps auf:

https://blog.gdata.de/artikel/neuer-dridex-infektionsvektor-identifiziert/