ISPIN Security Radar #38/19

/Security Radar

NextGen Phishing: Wie praktisch! Cyberkriminelle beantworten Ihre ungelesenen Emails. Phishing ist ein lukratives Geschäft. Und es wird immer schwieriger eine Phishing-Mail von einer vertrauenswürdigen Mail zu unterscheiden.

Ein solides Awareness-Programm darf in keinem fundierten IT-Security-Konzept fehlen, denn die grösste Angriffsfläche und das am einfachsten zu treffende Ziel sind die Mitarbeiter eines Unternehmens. Das macht Phishing äusserst lukrativ für Angreifer und damit sehr gefährlich. Schon ein unbedarfter Klick auf einen infizierten Mail-Anhang eines Angestellten kann verheerende Folgen haben. Selbst erfahrene Benutzer können auf Phishing-E-Mails hereinfallen, da diese meistens sehr gut gemacht sind. Das gilt allgemein und nicht nur im Fall der Malware Emotet. Simulierte Phishing-Attacken und nachfolgende Trainings sind effiziente Hilfsmittel um Ihre Mitarbeiter zu sensibilisieren.

Emotet is back

Emotet ist seit letzter Woche wieder aktiv und versendet massenhaft Phishing-E-Mails – auch an Privatpersonen. Dabei antworten die Cyberkriminellen unter anderem selbstständig auf ungelesene E-Mails im Posteingang mit einem infizierten Anhang. Emotet zitiert die ursprüngliche Nachricht und verweist in einem Antworttext auf einen Anhang, beispielsweise auf ein Word-Dokument. Zudem enthalten die Phishing-E-Mails häufig den Namen des Betroffenen im Betreff, wodurch eine höhere Klickrate erreicht wird. Dadurch erscheinen die Mails besonders authentisch und glaubhaft und sind so nicht nur für den Menschen viel schwieriger zu erkennen sondern auch für die Spam-Filter. Die Cyberkriminellen setzen also darauf, dass eine Antwort mit E-Mail-Anhang von einer Person, mit der man bereits im E-Mail-Kontakt steht, weniger misstrauisch macht. Öffnet der Empfänger das Word-Dokument, wird eine Lizenzvereinbarung von Microsoft vorgetäuscht und Nutzer müssen Makros akzeptieren. Wer das tut, lässt die Schadsoftware auf den Rechner. "Durch die Übernahme bestehender E-Mail-Konversationen und die Einbeziehung von echten Betreffzeilen und E-Mail-Inhalten werden die Nachrichten viel zufälliger", schreiben die Sicherheitsforscher von Talos. Ist Emotet erst mal auf den Rechner gelangt, spioniert die Malware unteranderem Onlinebanking-Zugangsdaten aus und lädt teils Schadsoftware wie den Banking-Trojaner Trickbot oder die Ransomeware Ryuk nach. Das BSI warnt, dass seit etwa einer Woche in Deutschland vermehrt ein Schad-Programm zum Online-Banking-Betrug nachgeladen wird, welches beim Aufruf der Online-Banking-Seiten einen Dialog einblendet, indem man Handy-Nummer und -Typ angeben müsse, um eine zusätzliche Sicherheits-App zu installieren. Der User erhält daraufhin einen Link zur Installation aufs Handy gesendet. Nach der Installation leitet die «Sicherheits-App» die mTANs an die Betrüger weiter.

Notfall-Patches für Internet Explorer

Der Internet Explorer ist ein Dinosaurier unter den Browsern der sich mit 7,5 % Marktanteil aber immer noch ungewöhnlich hartnäckig hält. Wer den IE noch im Einsatz hat, sollte sofort damit aufhören - oder einen Notfall-Patch installieren. Dieser Patch ist im Moment nur über den Microsoft Update Catalog erhältlich, über Windows Update oder die Windows Server Update Services (WSUS) ist er noch nicht verfügbar. Der Grund für diesen Notfall-Patch ist die Sicherheitslücke CVE-2019-1367. Diese wird als "Scripting Engine Memory Corruption Vulnerability" klassifiziert und erlaubt Remote-Code-Ausführung. Hat der User Admin-Rechte kann ein Angreifer im Prinzip den gesamten PC übernehmen. «Angreifer können von aussen Programme installieren, Daten ansehen, verändern oder löschen und neue Konten mit vollständigen Nutzerrechten erschaffen» schreibt Microsoft. Von der Lücke betroffen sind alle Windows-Versionen! Zeitgleich hat Microsoft noch einen weiteren Notfall-Patch für den Windows Defender veröffentlicht. Das Ausnutzen der Sicherheitslücke CVE-2019-1255 kann den Virenscanner in einen DoS-Zustand versetzen.

WiFi-Sicherheit von WeWork besorgniserregend schwach

WeWork, ein US-amerikanisches Unternehmen, bietet wie der Schweizer Co-Working-Anbieter IWG Büroflächen und Shared Workspaces für Selbständige und Unternehmen an. Im August enthüllte Fast Company, dass WeWork in vielen seiner mietbaren gemeinsamen Arbeitsräume seit Jahren das gleiche WiFi-Passwort verwendet hat, ein Passwort, das im Klartext in der App von WeWork erscheint. Nun berichtete CNET, dass Teemu Airamo, ein WeWork-Mieter, der in einem Gebäude in Manhattan arbeitet, dank schlechter WiFi-Sicherheitsvorkehrungen leicht Hunderte von sensiblen Dokumenten anderer Unternehmen im Gebäude einsehen konnte. Airamo, der regelmässig das WLAN des Gebäudes scannt, machte das Unternehmen bereits 2015 auf die schlechte WiFi-Sicherheit aufmerksam. Unsere Empfehlung für CO-Working-Kunden ist es, ein VPN für den eigenen Gebrauch einzurichten.

Ordinypt Malware Welle trifft erneut auf Deutschland

Ordinypt ist eine äusserst zerstörerische Malware, die vorgibt, Ransomware zu sein, aber letztendlich die Dateien der Opfer nicht verschlüsselt, sondern unwiderruflich überschreibt. Ordinypt Wiper funktioniert nach demselben Prinzip wie die German Wiper Malware. Wie schon zuvor beim German Wiper, richtet sich Ordinypt Wiper hauptsächlich an deutschsprachige Opfer und sendet eine Spam-E-Mail mit der Bewerbung einer Person namens „Eva Richter“. Diese E-Mails tragen den Betreff „Bewerbung via Arbeitsagentur – Eva Richter“. Wird die Datei Lebenslauf.pdf.exe geöffnet, fängt der Bildschirm in verschiedenen Farben an zu blinken und die Daten werden zerstört. Nachdem Ordinypt Wiper alle Daten auf dem befallenen Rechner gelöscht hat, findet sich in jedem Ordner eine Lösegeldforderung [extension] _how_to_decrypt.txt.

Sicherheitslücke im iOS13

Seit der Veröffentlichung von iOS13 mehren sich Berichte über Bugs und Sicherheitslücken. Jose Rodriguez, ein Beta-Tester, hat nun eine eklatante Sicherheitslücke im OS aufgedeckt, mit dieser Dritte den Sperrbildschirm umgehen können, ohne einen PIN einzugeben, und sich so einfach Zugriff auf gespeicherte Kontakte und mehr verschaffen können. Apple ist die Sicherheitslücke bekannt; sie soll mit dem Update auf iOS 13.1 behoben werden.

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr zu unseren Cyber Defense Services.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter