Bitdefender Labs beobachtet vermehrt Malware- und Betrug Aktivitäten im Zusammenhang mit Ukraine

Während sich der Krieg in der Ukraine immer mehr zuspitzt, registrieren die Sicherheitsorscher der Bitdefender Labs eine Welle an Betrugs- und Malware-E-Mails, die die humanitäre Krise und die damit einhergehende Hilfsbereitsschaft von Empfängern in aller Welt ausnutzen. Was wir bisher beobachtet haben:

Malspam-Kampagnen infizieren Rechner mit Agent Tesla- und Remcos-RATs

Seit dem 1. März sind die Bitdefender Labs zwei Phishing-Kampagnen auf der Spur, die versuchen, Empfänger mit zwei bekannten Remote-Access-Trojanern – Agent Tesla und Remcos – zu infizieren.

Kampagne 1:

Die erste Malspam-Kampagne richtet sich offenbar gegen Unternehmen in der Fertigungsindustrie. Dabei wird ein .zip-Anhang mit dem Namen „REQ Supplier Survey“ verschickt. Die Angreifer bitten die Empfänger, eine Umfrage über ihre Notfallpläne zur Reaktion auf den Krieg in der Ukraine auszufüllen.

Unseren Bedrohungsforschern zufolge wird die Schadroutine über einen Discord-Link direkt auf die Computer der Opfer heruntergeladen und dort installiert. Erwähnenswert ist, dass neben der Schaddatei auch eine saubere Version von Chrome heruntergeladen wird, höchstwahrscheinlich in dem Versuch, den Benutzer abzulenken.

Bei Agent Tesla handelt es sich um einen berüchtigten Malware-as-a-Service (MaaS)-RAT, der zum Diebstahl von Daten eingesetzt wird und schon im Zuge der Pandemie in zahlreichen E-Mail-basierten Cyberangriffen sein Unwesen getrieben hat. Die Täter verwenden Agent Tesla, um unbemerkt sensible Daten wie Anmeldeinformationen, Tastatureingaben und Daten aus der Zwischenablage zu stehlen.

Unserer Analyse zufolge gingen die Angriffe offenbar von IP-Adressen in den Niederlanden (86 %) und Ungarn (3 %) aus und waren an Empfänger auf der ganzen Welt adressiert, darunter Südkorea (23 %), Deutschland (10 %), das Vereinigte Königreich (10 %), die USA (8 %), die Tschechische Republik (14 %), Irland (5 %), Ungarn (3 %), Schweden (3 %) und Australien (2 %).

Bitdefender-Kunden sind bereits umfassend vor Agent Tesla-Angriffen geschützt. Die angehängte Datei REQ Supplier Survey.zip, erkannt als Gen:NN.ZemsilCO.34232.cm0@aKLKBXo, wird sowohl von unseren Privatanwender- als auch von unseren Unternehmenslösungen erkannt und blockiert.

Kampagne 2:

Unsere Forscher entdeckten am 2. März eine weitere Malspam-Kampagne, in der sich die Angreifer als ein in Südkorea ansässiger Medizingerätehersteller ausgeben, der sich auf In-vitro-Diagnostik-Analysegeräte spezialisiert hat. Ziel des Angriffs ist die Verbreitung des Remcos-RATs über einen Excel-Anhang (SUCT220002.xlsx).

In der Nachricht selbst werden Empfänger mit Verweis auf den Krieg in der Ukraine gefragt, ob sie ihre Bestellung zurückstellen möchten, bis Lieferungen und Flüge wieder aufgenommen werden. Cyberangreifer verbreiten das Remcos-RAT über manipulierte Dokumente oder Archive, um die vollständige Kontrolle über die Systeme ihrer Opfer zu erlangen. Ist ihnen das gelungen, können sie Tastatureingaben, Screenshots, Anmeldedaten oder andere sensible Systeminformationen abgreifen und direkt an ihre Server übertragen.

89 % des Malspams stammt offenbar von IP-Adressen in Deutschland, weitere 19 % aus den USA. Die Angreifer konzentrierten sich auf Empfänger in Irland (32 %), Indien (17 %), den USA (7 %), dem Vereinigten Königreich (4 %), Deutschland (4 %), Vietnam (4 %), Russland (2 %), Südafrika (2 %) und Australien (2 %).

„Auch wenn sich die jüngsten Cyberangriffe nicht unmittelbar gegen ukrainische Infrastrukturen oder die Zivilbevölkerung richten, werden sich die durch den anhaltenden Krieg erzeugten globalen Spannungen vermutlich in gezielteren Angriffen widerspiegeln, die Notfalldienste und humanitäre Hilfsmaßnahmen im Land behindern könnten“, so Alexandru Maximciuc, Bedrohungsforscher in den Bitdefender Labs.

„Wir haben bereits massenhafte DDoS-Angriffe und Wiper-Malware beobachtet, die Finanzinstitute und Unternehmen in der Ukraine getroffen haben. In Anbetracht der ausgedehnten Wirtschaftssanktionen, die vom Westen als Reaktion auf die russische Invasion verhängt wurden, sollte die Gefahr digitaler Angriffe zur Unterbrechung kritischer Infrastrukturen in der aktuellen Bedrohungslandschaft nicht unterschätzt werden.“

Die Bitdefender-Lösungen für Privat- und Geschäftskunden erkennen den schädlichen Anhang SUCT220002.xlsx, über den das Remcos-RAT als Exploit.CVE-2017-11882.Gen verbreitet wird.

Spendenbetrug mit Kryptowährungen nimmt zu

Bereits am 25. Februar vermeldete das Bitdefender Antispam Lab erste Anzeichen von Betrügern, die die russische Invasion in der Ukraine und die Nachrichten über die Flucht ukrainische Bürger für ihre Zwecke ausnutzen. Wie zu erwarten, nutzen Betrüger die anhaltende humanitäre Krise auch weiterhin zu ihrer Bereicherung aus.

Nur Stunden nach der Invasion gab die ukrainische Regierung bekannt, dass sie Spenden in den Kryptowährungen BTC und ETH annimmt, und die weltweite Spendenbereitschaft war überwältigend. Laut der jüngsten Analyse der Blockchain-Transaktionen erhielt die ETH-Wallet über 18.524 Transaktionen im Gesamtwert von über 9,7 Millionen US-Dollar, während die BTC-Wallet mehr als 9.300 Transaktionen im Wert von 9,4 Millionen US-Dollar verzeichnete.

Es besteht kein Zweifel: Einzelpersonen, Organisationen und Regierungen entscheiden sich, wem sie ihre Unterstützung zukommen lassen, und Cyberkriminelle verstärken im Zuge dessen ihre Bemühungen, einen Teil der Finanzhilfen in ihre Taschen fließen zu lassen.

„Wir wissen längst, dass globale Großereignisse und Krisen Auslöser für Malspam-Kampagnen sind, die das Mitgefühl und die Hilfsbereitschaft der Menschen ausnutzen“, sagt Adrian Miron, Antispam Research Manager bei Bitdefender.

„Bisher haben wir festgestellt, dass die Angreifer sehr schnell auf offizielle Ankündigungen der Ukraine und anderer Organisationen reagieren, indem sie das Aussehen dieser Meldungen nachahmen. Wir gehen davon aus, dass die Bandbreite der Phishing- und Malware-Kampagnen sowie die Zahl der täglich versendeten Nachrichten weiterhin zunehmen wird und die Angreifer ihre Überzeugungsversuche immer wieder anpassen werden.“

Die Bitdefender Labs beobachten aktiv betrügerische Spenden-E-Mails, die Empfänger zum Geldspenden auffordern. Dabei geben sich die Betrüger als Vertreter der ukrainischen Regierung, der internationalen humanitären Hilfsorganisation Act for Peace, der UNICEF und anderer Spendenprojekte wie dem Ukraine Crisis Relief Fund aus, um ihren Bitten um finanzielle Unterstützung für die ukrainische Armee und die vielen Millionen vom Krieg betroffenen Zivilisten und Kinder Nachdruck zu verleihen.

Dabei finden sich immer wieder folgende Betreffzeilen:

• Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum and USDT.
• HELP UKRAINE stop the war!
• Ukraine Humanitarian Donation
• Donate to Ukraine, Help save a life: Please read
• Urgent! Help Children in Ukraine
• Subject: Help Ukraine

Die E-Mails nutzen die emotional aufgeladene Situation aus und beziehen sich auf die Auswirkungen auf die Menschen in der Ukraine und die wachsende Zahl von Flüchtlingen, die ihre Heimat hinter sich lassen müssen und dringend Versorgungsgüter und Unterkunft benötigen.

Laut Bitdefender Antispam Lab erreichte der Spendenbetrug in den E-Mail-Postfächern am 2. März seinen Höhepunkt.

In einem Fall ist eine Kampagne mit der Betreffzeile „Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum and USDT“, die von IP-Adressen in China stammt, am 2. März zehntausendfach in Posteingängen gelandet. 25 % der Empfänger dieser Mails waren im Vereinigten Königreich ansässig, 14 % in den USA, 10 % in Südkorea, 8 % in Japan, 7 % in Deutschland, 4 % in Rumänien und jeweils 2 % in Griechenland, Finnland und Italien.

E-Mail-Betrug a la nigerianischer Prinz

Die Bitdefender-Spamfilter haben auch eine ukrainische Variante des Nigerian Prince-Betrugs aufgefangen. Die E-Mail, die angeblich von einem renommierten Geschäftsmann aus der Ukraine stammt, bittet Sie um Ihre Unterstützung bei der Überweisung von 10 Millionen US-Dollar, bis er sich selbst in Sicherheit bringen kann.

Die Betrüger, die hinter dieser speziellen Masche stecken, versenden ihre E-Mails von IP-Adressen in Botswana (83 %), Deutschland (10 %) und Frankreich (5 %). Ihre Hauptzielgruppe sind Empfänger in Deutschland (42 %), der Türkei (16 %), den USA (16 %), Irland (8 %) und Polen (3 %).

Leider geraten Nutzer, die auf diese E-Mail reagieren, an einen Betrüger, der sie um ihre persönliche Daten bittet, um das Geld aus dem Land zu transferieren. Obwohl die E-Mail den Empfängern zunächst keine finanzielle Belohnung für ihre Hilfe verspricht, wird der Betrüger wahrscheinlich eine Vergütung für die Hilfe beim Abschluss der Überweisung in Aussicht stellen. In der Regel verlangen die Betrüger von den Empfängern die Zahlung einer Verwaltungsgebühr, die vermeintlich mit der Überweisung großer Summen anfällt. Hat der Betrüger es geschafft, sein Opfer zu täuschen, verschwindet er mit dem erhaltenen Geld oder – schlimmer noch – räumt gleich das ganze Konto leer.

Bitdefender: Spezialisten für Cybersicherheit

Die Tatsache, dass Cyberkriminelle und Betrüger die Krise in der Ukraine ausnutzen, um Menschen um ihr Geld zu bringen und Malware zu verbreiten, ist für Cybersicherheitsexperten kein Überraschung. Auch wenn der Krieg für viele von uns weit entfernt erscheint, reagieren Menschen weltweit doch hochemotional auf das Leid der Menschen in der Ukraine und möchten den Flüchtlingen, die sich vor dem Krieg in Sicherheit bringen, so gut es geht helfen.

Wir raten an alle Internetnutzern dringend, in dieser angespannten Lage besonders umsichtig zu sein und im Rahmen guter Cyberhygiene gängige Sicherheitsempfehlungn zu beachten. So können Sie sicherstellen, dass Ihr schwer verdientes Geld nicht in die falschen Hände gerät:

• Klicken Sie niemals auf Links oder Anhänge in E-Mails oder Nachrichten, die Sie zum Spenden drängen.
• Spenden Sie ausschließlich über offizielle und vertrauenswürdige Wohltätigkeitsorganisationen, Non-Profit-Organisationen und Spendensammler.
• Überprüfen Sie Ihre Bankkonten regelmäßig auf verdächtige Aktivitäten oder nicht genehmigte Abbuchungen.
• Nutzen Sie jedes Passwort immer nur einmal.

Weitere Tipps finden Sie in unserem Leitfaden zur Cybersicherheit in Kriegsgebieten.

Als Reaktion auf die militärische Krise und die Zunahme an cyberkriminellen Aktivitäten bieten Bitdefender und das rumänische Nationale Direktorat für Cybersicherheit während dieser Zeit allen ukrainischen Bürgern, Unternehmen und Institutionen kostenlose Cybersicherheitstechnologiean, und zwar so lange wie nötig.

Darüber hinaus können Nutzer in aller Welt mit unserer erweiterten kostenlosen Testphase für Testversion von Bitdefender Total Security insgesamt 90 Tage lang ihre Cyberresilienz stärken und sich zuverlässig vor Online-Betrug und digitalen Bedrohungen schützen. Mit Bitdefender Total Security erhalten Sie den besten Malware-Schutz zur Abwehr von Bedrohungen auf allen gängigen Betriebssysteme. Der Echtzeitschutz schützt Sie vor allen digitalen Bedrohungen, also auch vor Viren, Würmern, Trojanern, Ransomware, Zero-Day-Exploits, Rootkits und Spyware. So bleiben Sie und Ihre Daten jederzeit sicher.

Hinweis: Dieser Artikel basiert auf technischen Informationen, die mit freundlicher Genehmigung der Bitdefender Labs zur Verfügung gestellt wurden.

Bleiben Sie sicher!