Dridex wird ständig weiterentwickelt
Sechs von zehn deutschen Unternehmen von Banking-Trojaner Dridex betroffen
Untersuchungen zeigen schnelle Weiterentwicklungen von Phishing-Methoden
(17.07.15) - FireEye beobachtet seit über einem Jahr die Entwicklungen rund um die Malware "Dridex", die auch in Deutschland eine hohe Reichweite bei Unternehmen hat. Die Dridex-Malware wurde wie auch jeder andere Banking-Trojaner entwickelt, um Informationen in Verbindung mit Banking-Websites zu sammeln. Laut einem Bericht von IBM nahm Dridex Online-Banking-Konten von Unternehmen ins Visier und erbeutete unbemerkt mehr als eine Million US-Dollar von Unternehmen, indem große Geldbeträge auf verschiedene Offshore-Konten und von dort weiter überwiesen wurden. Die Rückverfolgung der Transaktionen war durch dieses Vorgehen häufig nicht mehr möglich.
Dridex nutzt die folgenden drei Methoden, um an Banking-Zugangsdaten von Kunden ins Visier genommener Banken zu gelangen:
>> Die Malware injiziert HTML-Code, um auf der Banking-Website zusätzliche Eingabefelder anzuzeigen. Der Nutzer soll dort seine Zugangsdaten für den Login eingeben.
>> Sie leitet Nutzer um, um über einen Proxy-Server zu kommunizieren. Den Nutzern wird eine gefälschte Banking-Website angezeigt, auf der ebenfalls zusätzliche Eingabefelder nach den Zugangsdaten fragen.
>> Als dritte Variante fängt die Malware die Antwort der Banking-Website ab und leitet auf den PHP-Server des Angreifers um. Dieser injiziert Schadcode in die abgefangene Antwort.
Mit Hilfe der Dynamic Threat Intelligence (DTI)-Cloud konnte FireEye einige Statistiken zur Dridex-Malware zusammentragen. Die Grafik zeigt die Reichweite von Dridex in verschiedenen Regionen weltweit:
Sechs von zehn Unternehmen von Dridex betroffen
Die größte Reichweite hat der Banking-Trojaner in Nordamerika, doch auch in Deutschland ist seine Reichweite enorm: 62,8 Prozent. Damit liegen deutsche Unternehmen auf einem überdurchschnittlichen Niveau, denn weltweit wurde die Malware bei 57,3 Prozent der untersuchten Unternehmen beobachtet.
"Moderne Bedrohungen für die Cybersicherheit stellen immer auch eine weltweite Gefahr für die Sicherheit von Unternehmen dar. Der beobachtete Trojaner ist ein gutes Beispiel dafür", erklärt Frank Kölmel, Vice President Central & Eastern Europe bei FireEye. "Überall, wo vertrauliche Informationen oder Finanzdaten verwahrt oder übermittelt werden, versuchen Cyberkriminelle, an sie zu gelangen. Die Entwickler von Dridex sind kein Einzelfall."
Hintergrund: Dridex wird ständig weiterentwickelt
Die Entwickler von Dridex sind nach wie vor aktiv und ihre Phishing-Kampagnen gehören zu den sich am schnellsten entwickelnden der jüngeren Vergangenheit. Die Methoden, mit der die Malware per Phishing-E-Mails an ihr Ziel gelangt, ändern sich fortwährend und jede neue Kampagne nutzt neue Möglichkeiten für ihre Angriffe.
Die in frühen Stadien am häufigsten beobachtete Angriffsmethode der Dridex-Entwickler waren E-Mails mit eingebetteten schädlichen Links oder Anhängen, die den Empfänger zur Nutzung eines Downloaders namens "Uptrade" bringen sollten. Seitdem konnte eine Reihe weiterer Methoden beobachtet werden, die sowohl mit schädlichen Links für Downloads und andere Websites als auch mit infizierten Datei-Anhängen arbeiteten.
Die meisten Weiterentwicklungen hinsichtlich der Methoden wurden 2014 im Zusammenhang mit dem Verstecken der Malware beobachtet. Dazu wurden beispielsweise Makros oder Server mit SSL-Zertifikaten verwendet. Andere Bestandteile der Dridex-Methoden hatten sich im letzten Jahr wiederum nicht verändert.
Seit Beginn des Jahres 2015 können Weiterentwicklungen des Dridex-Phishings beobachtet werden, die ein Entdecken der Angriffe erschweren. Dazu nutzen die Entwickler unter anderem Makro-basierte Trojaner-Downloader und Multistage-Downloader.
Bei jüngeren Dridex-Phishing-Wellen wurden unterschiedliche Varianten bekannter Dateiformate genutzt einige Beispiele:
>> XML-Dokumente März 2015
>> Schädliche Word-Dokumente, in PDF eingebettet April 2015
>> MIME-basierte Microsoft Office-Dateien Mai 2015
(FireEye: ra)
FireEye: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.