Um die – auch hierzulande aktive – Banking-Malware IcedID zu verbreiten, nutzen Angreifer derzeit offenbar verstärkt den Umweg über Kontaktformulare
Aktuell warnt Microsoft vor einer Malware, welche über Kontaktformulare an Firmen versendet wird. In dieser Mail sollen die Empfänger einen Link anklicken, welcher dann den Trojaner „IcedID“ enthält.
Dieser Trojaner ist kein Unbekannter und wurde in der Vergangenheit schon von Emotet nachgeladen. Vorsicht ist hier auf jeden Fall angebracht.
Die Angreifer zielen bei dieser Kampagne vor allem auf Website-Betreiber aus dem Business-Bereich ab, welche zusätzlich noch eine öffentliche oder aus einem Datenleck bekannte Gmail-Adresse besitzen.
Zunächst wird der Umweg über das Kontaktformular genutzt, um einen vertrauenswürdigen Eindruck zu hinterlassen und Spam-Filter in die Irre zu führen. In der jeweiligen Mail befindet sich dann ein Link zu einem Google-Webhost-Dienst, wo zuvor Schadcode (oder ein Redirect zum Schadcode) hinterlegt ist. Sie konfigurieren Google Sites so, dass der Code nur unter Eingabe der Google-Zugangsdaten des Opfers (bzw. Zugangsdaten einer berechtigten Google-Gruppe) abgerufen werden kann. Dieser zusätzliche Authentifizierungs-Layer trägt laut Microsoft nochmals dazu bei, dass die E-Mail von Erkennungsmechanismen nur schwer als schädlich identifizierbar ist.
Der Schadcode befindet sich einer .zip-Datei und ist nochmals stark verschleiert. Nach erfolgter Infektion können sie unter anderem Bank- und andere Daten exfiltrieren, aber auch weitere Malware nachladen.
Die von Microsoft beobachteten E-Mails enthalten Vorwürfe zu angeblich unrechtmäßig auf der jeweiligen Website verwendeten Bildern sowie die Behauptung, dass das bei Google Sites hinterlegte Dokument Beweise enthalte. Als Beispiele für im Kontaktformular eingetragene E-Mail-Adressen nennt Microsoft mehrere auf .yahoo.com und aol.com endende Absender (mphotographer550, mephotographer890, mgallery487, mephoto224, megallery736 und mshot373).
Unternehmen sollten laut Microsoft im Hinterkopf behalten, dass im Zuge künftiger, ähnlicher Kampagnen statt IcedID auch anderer Schadcode ausgeliefert werden könnte. Auch Wortlaut und Vorwand der per Formular verschickten E-Mails dürften künftig stark variieren.