Palo Alto Networks identifiziert zahlreichen Quellen von Dridex

Unbenannt

Die als „Banking-Trojaner“ bekannt gewordene Malware Dridex wird derzeit durch eine massive E-Mail-Kampagne verbreitet. Darauf weist Palo Alto Networks hin. In der E-Mail ist ein Word-Attachment enthalten, das den eingebauten Makrocode verwendet, um eine Kopie des Trojaners herunterzuladen und auszuführen.

„Dridex die neueste Version des Bugat-/Feodo/Cridex-Banking-Trojaners. Seine Kernfunktion besteht darin, Anmeldeinformationen von Online-Banking-Websites zu stehlen und diese in krimineller Absicht zu verwenden, um Überweisungen zu initiieren und Fonds zu stehlen“, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. „Dridex hat es auf Banken auf der ganzen Welt abgesehen, wobei im Oktober die Mehrheit der E-Mails für die USA bestimmt war, gefolgt von Großbritannien. Bei der jüngsten Angriffswelle ist offensichtlich Europa zum Hauptziel aufgerückt!“

Diese Angriffszieländerung manifestiert sich auch thematisch. Viele der Attachment-Namen beziehen sich auf die sogenannten BACS (Bankers‘ Automated Clearing Services), die für Banküberweisungen in Großbritannien verwendet werden. In einer weiteren Gruppe von E-Mails wird der Versand einer Rechnung von Les Mills UK, einem Anbieter von Gruppenfitnessprogrammen, vorgetäuscht. Mit dieser Kampagne zu Jahresbeginn machen die Angreifer vermutlich Jagd auf gutgläubige Empfänger, die als Neujahrsvorsatz an ihrer Fitness arbeiten wollen.

Bereits im Oktober hatte Palo Alto Networks sechs URLs identifiziert, die von den Word-Dokumenten verwendet werden, um den Dridex-Trojaner herunterzuladen. In den vergangenen zwei Wochen wurden nun jedoch Dateien mit immerhin 43 verschiedenen Download-Adressen identifiziert.

Viele dieser URLs werden auf kompromittierten Webseiten vorgehalten, aber es gibt kein klares Muster, um anzuzeigen, wie sie die Kontrolle über die Websites übernehmen. Allerdings gibt es klare Gruppierungen von Mustern für die Download-URLs. Eine Gruppe stützt sich auf den Pfad /js/bin.exe, während eine andere mops/pops.php verwendet. Diese URLs werden innerhalb der in jeder Datei enthalten Makros kodiert. Palo Alto Networks stellt online eine Komplettübersicht der URLs zur Verfügung.

„Palo Alto Networks WildFire erkennt alle diese Makro-basierte Angriffe mithilfe seiner Sandbox-Technologie. Schützen kann man sich zudem durch prophylaktisches Deaktivieren von Makros in Microsoft Word“, fasst Thorsten Henning zusammen. „Makro-basierte Malware wird bereits seit mehr als einem Jahrzehnt eingesetzt. Die meisten Unternehmen sind gut damit beraten, Makros standardmäßig zu deaktivieren und nur für vertrauenswürdige Dateien zuzulassen.“