In den USA läuft derzeit eine besonders trickreiche Phishing-Kampagne, die nicht nur auf die Verbreitung per E-Mail, sondern auch auf telefonischen Kontakt setzt. Die Opfer erhalten dabei eine E-Mail, die auf den baldigen Ablauf ihres Probeabos bei einem obskuren Streaming-Dienst namens BravoMovies hinweist. Sollten diese nicht von der telefonischen Kündigung Gebrauch machen, würden ihnen künftig 39,99 Dollar monatlich in Rechnung gestellt werden. Netterweise wird die Telefonnummer des Kundendienstes bereits in dieser E-Mail genannt. Ruft das empörte Opfer bei dieser Hotline an, meldet sich ein verständnisvoller Mitarbeiter des Kundendienstes und bietet an, das Opfer durch den Kündigungsprozess auf der Webseite von BravoMovies zu leiten.
Tatsächlich soll der Anrufer jedoch ausgetrickst werden, um die Malware BazaLoader zu installieren. Das Opfer muss für die Beendigung des vermeintlichen Probeabos laut Anweisung nun auf eine „Subscription“-Seite gehen, die es dazu auffordert, eine Excel-Datei herunterzuladen. Diese wiederum enthält Makros, die dann im Hintergrund die Malware downloaden, sofern Makros auf dem Rechner aktiviert sind. Das Opfer bekommt von diesem Vorgang nichts mit und wiegt sich in Sicherheit, sobald der vermeintliche Kündigungsprozess abgeschlossen ist.
Beschrieben haben die neue Masche Sicherheitsforscher von Proofpoint in einem aktuellen Bericht. Sie weisen drauf hin, dass die Cyberkriminellen in diesem Fall besonders heimtückisch vorgehen und einige Maßnahmen ergriffen haben, damit die Opfer nicht misstrauisch werden. So wirkt beispielsweise die vermeintliche Webseite von BravoMovies durchaus überzeugend. Sie enthält sogar gefälschte Filmplakate, die auf die neusten Eigenproduktionen hinweisen. Dafür wurden Open-Source-Bilder mit Filmtiteln und Erscheinungsjahren versehen. Auch der Einsatz eines Callcenters erscheint auf den ersten Blick unnötig aufwendig, allerdings betonen die Sicherheitsforscher bei Proofpoint, dass dadurch die E-Mail einen glaubwürdigeren Eindruck macht und weniger Misstrauen erweckt. Hinzu kommt, dass die Opfer die URL der Webseite von BravoMovies selbst eingeben und den Download der Malware einleiten, was bereits einige wahrscheinlich aktivierte Sicherheitsmechanismen aushebelt.
Aktuell wird bei der Kampagne wie beschrieben die Malware BazaLoader heruntergeladen. Diese öffnet Angreifern eine Hintertür zu Windows-Rechnern, die als Angriffsvektor für weitere Malware, wie etwa Ransomware, genutzt werden kann. So nutzt beispielsweise die Ransomware RYUK BazaLoader, um die Microsoft-Netzwerke großer öffentlicher Organisationen zu infizieren. Damit stellt die aktuelle Kampagne durchaus ein großes Risiko dar. Die gute Nachricht für Unternehmen und Internetnutzer in Deutschland ist, dass bislang nur Fälle in den USA beobachtet wurden. Doch das bedeutet nicht, dass eine derartige Masche nicht auch bei uns möglich wäre. Es lohnt sich also, auch hierzulande aufmerksam zu bleiben und entsprechende Schritte zu unternehmen, um die Gefahren durch Malware zu minimieren. Im aktuellen Fall würde beispielsweise bereits die Deaktivierung von Makros einen gewissen Schutz bieten. Zusätzlich empfiehlt es sich, generell ohne Administratorrechte im Internet zu surfen, da sich Malware so nicht einfach im Hintergrund installieren kann.
Tatsächlich soll der Anrufer jedoch ausgetrickst werden, um die Malware BazaLoader zu installieren. Das Opfer muss für die Beendigung des vermeintlichen Probeabos laut Anweisung nun auf eine „Subscription“-Seite gehen, die es dazu auffordert, eine Excel-Datei herunterzuladen. Diese wiederum enthält Makros, die dann im Hintergrund die Malware downloaden, sofern Makros auf dem Rechner aktiviert sind. Das Opfer bekommt von diesem Vorgang nichts mit und wiegt sich in Sicherheit, sobald der vermeintliche Kündigungsprozess abgeschlossen ist.
Beschrieben haben die neue Masche Sicherheitsforscher von Proofpoint in einem aktuellen Bericht. Sie weisen drauf hin, dass die Cyberkriminellen in diesem Fall besonders heimtückisch vorgehen und einige Maßnahmen ergriffen haben, damit die Opfer nicht misstrauisch werden. So wirkt beispielsweise die vermeintliche Webseite von BravoMovies durchaus überzeugend. Sie enthält sogar gefälschte Filmplakate, die auf die neusten Eigenproduktionen hinweisen. Dafür wurden Open-Source-Bilder mit Filmtiteln und Erscheinungsjahren versehen. Auch der Einsatz eines Callcenters erscheint auf den ersten Blick unnötig aufwendig, allerdings betonen die Sicherheitsforscher bei Proofpoint, dass dadurch die E-Mail einen glaubwürdigeren Eindruck macht und weniger Misstrauen erweckt. Hinzu kommt, dass die Opfer die URL der Webseite von BravoMovies selbst eingeben und den Download der Malware einleiten, was bereits einige wahrscheinlich aktivierte Sicherheitsmechanismen aushebelt.
Aktuell wird bei der Kampagne wie beschrieben die Malware BazaLoader heruntergeladen. Diese öffnet Angreifern eine Hintertür zu Windows-Rechnern, die als Angriffsvektor für weitere Malware, wie etwa Ransomware, genutzt werden kann. So nutzt beispielsweise die Ransomware RYUK BazaLoader, um die Microsoft-Netzwerke großer öffentlicher Organisationen zu infizieren. Damit stellt die aktuelle Kampagne durchaus ein großes Risiko dar. Die gute Nachricht für Unternehmen und Internetnutzer in Deutschland ist, dass bislang nur Fälle in den USA beobachtet wurden. Doch das bedeutet nicht, dass eine derartige Masche nicht auch bei uns möglich wäre. Es lohnt sich also, auch hierzulande aufmerksam zu bleiben und entsprechende Schritte zu unternehmen, um die Gefahren durch Malware zu minimieren. Im aktuellen Fall würde beispielsweise bereits die Deaktivierung von Makros einen gewissen Schutz bieten. Zusätzlich empfiehlt es sich, generell ohne Administratorrechte im Internet zu surfen, da sich Malware so nicht einfach im Hintergrund installieren kann.
