Malware und Online-Betrug nutzen Ukraine-Krieg als Trittbrett

Malware und Online-Betrug nutzen Ukraine-Krieg als Trittbrett

Beitrag teilen

Bitdefender Labs beobachten verstärkten Malware-Versand und Online-Betrug im Zusammenhang mit dem Ukraine-Krieg. Remote-Access-Trojaner in Anhängen landen in Produktionsunternehmen. 42 % der Ukraine-Variante der Betrugsmasche „Nigerianischer Prinz“ landen in deutschen Mailboxen.

Cyberkrieg ist ein dominanter IT-Aspekt des aktuellen Konflikts. Außerhalb der direkt involvierten Staaten versenden derzeit Spam-Trittbrettfahrer ihre Mails. Je heftiger die Auseinandersetzungen in der Ukraine werden, desto höher ist die Zahl von Online-Betrug oder Malware-Versand über E-Mails. Perfides Ziel der Kriminellen: Sie möchten die humanitäre Krise und die allgemeine Hilfsbereitschaft der Menschen gezielt ausnutzen.

Anzeige

Remote-Access-Trojaner „Agent Tesla“

Die Bitdefender Labs beobachteten in den vergangenen Tagen mehrere Mail-Kampagnen, die sich zum Teil gegen Unternehmen richten und auch in deutschen Mailboxen landen. Hacker greifen Unternehmen in der Produktionsbranche mit Agent Tesla an. Dabei handelt es sich um einen ein so genannten „Malware-as-a-Service-Remote-Access-Trojaner (MaaS RAT). Er stiehlt Daten und wurde von Hackern vor allem in der Pandemie für zahlreiche E-Mail-Kampagnen genutzt.

Die Spam-Mails versuchen, das bösartige Tool über einen ZIP-Anhang mit dem Namen „REQ Supplier Survey“ zu verbreiten. Laut Mail sollen die Empfänger in einer Studie Auskunft über ihre Backup-Pläne angesichts des Ukraine-Kriegs geben. Der bösartige Payload wird von einem Discord-Link aus direkt auf das System des Opfers heruntergeladen und dort implementiert. Um die Nutzer abzulenken, wird zusätzlich eine sichere Chrome-Version heruntergeladen.

Die Mails haben zu 86 Prozent eine niederländische IP-Adresse. Die Angreifer versenden sie weltweit: Am häufigsten mit 23 % nach Südkorea und mit 14 % nach Tschechien. Deutschland liegt zusammen mit Großbritannien auf Rang 3 mit jeweils 10 %.

Malware-Kampagne Remcos RAT

Spam-Mail mit Agent Tesla Remote-Access-Trojaner (Bild: Bitdefender).

Die Bitdefender-Experten beobachten seit dem 2. März eine weitere Malware-Spam-Kampagne. Hier geben sich die Angreifer als ein südkoreanischer Spezialist für Analysegeräte zur In-Vitro-Diagnostik aus. Über eine Excel-Tabelle im Anhang (SUCT220002) verbreiten sie die Remcos-RAT-Malware. So können die Cyberkriminellen über infizierte Dokumente oder Archive die volle Kontrolle über die angegriffenen Systeme erlangen. Remcos RAT zeichnet Tastatureingaben, Screenshots, Zugangsdaten oder andere sensible Systeminformationen auf und exfiltriert diese auf die Server der Urheber.

Laut IP-Adresse stammen 89 % der Mails aus Deutschland und 19 % aus den USA. Empfängerländer sind neben Irland (32%), Indien (17%) und den USA (7%) Großbritannien, Deutschland und Vietnam mit jeweils 4 % der Empfänger.

Betrügerische Spendenaufrufe

In betrügerischen Mails geben Scammer vor, der ukrainischen Regierung oder Organisationen wie Act for Peace, UNICEF und dem Ukraine Crisis Relief Fund anzugehören. Sie bitten dann unter verschiedenen Betreffzeilen um Geldspenden für die ukrainische Armee oder um Hilfe für die Zivilbevölkerung im Kriegsgebiet. 7 % der Mails mit dem Betreff „Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum and USDT“ landeten bislang bei deutschen Empfängern – 25 % in Großbritannien, 14 % in den USA, 10 % in Südkorea, 8 % in Japan, 4 % in Rumänien und je 2 % in Griechenland, Finnland und Italien.

Der nigerianische Prinz ist wieder da

Betrüger greifen dieses bekannte Cyber-Scam-Motiv wieder auf und verbreiten es vor allem in Deutschland: Ein Geschäftsmann aus der Ukraine bittet angeblich um Hilfe beim Transfer von zehn Millionen US-Dollar, bis er es wieder selbst sicher deponieren kann. Nimmt das Opfer Kontakt auf, fragen die Angreifer ihn vermutlich nach persönlichen Informationen, versprechen eine Belohnung und bitten um Geld – zum Beispiel für das Zahlen von Bankgebühren. Dann sehen die Opfer das Geld nicht mehr wieder.

Die IP-Adressen der Absender befinden sich zu 83 % in Botswana, zu 10 % in Deutschland, zu 5 % in Frankreich. Die Adressaten leben vor allem in Deutschland ( 42 %), gefolgt von der Türkei (16 %), den Vereinigten Staaten von Amerika (16 %), Irland (8 %) sowie Polen (3 %).

Angesichts dieser Welle von E-Mail-Scams, die sich hinter emotionalen Appellen verbergen, sollten Nutzer gerade jetzt die üblichen Sorgfaltsregeln im Umgang mit unerwarteten Mails befolgen.

Dazu gehören:

  • Kein Klick auf Links oder Anhänge, die um eine dringende Spende bitten
  • Spenden nur über offizielle und anerkannte Organisationen
  • Regelmäßiges Überprüfen von Bankkonten auf verdächtige Aktivitäten
  • Eigene Passworte für alle Online-Nutzerkonten
Mehr bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

Cyberangriffe: Russland hat es auf deutsche KRITIS abgesehen

Russland setzt gezielt destruktive Schadsoftware ein und bedroht mit seiner digitalen Kriegsführung kritische Infrastrukturen in Deutschland. Durch die zunehmende Aggressivität, ➡ Weiterlesen

DORA: Stärkere Cybersecurity für Finanzunternehmen

Der Digital Operational Resilience Act (DORA) soll die IT-Sicherheit und das Risikomanagement in der Finanzbranche stärken, indem er strenge Anforderungen ➡ Weiterlesen

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

GoldenJackal: Hacker greifen vom Internet isolierte Computer an

Die APT-Gruppe GoldenJackal greift erfolgreich Ziele in Europa an, die durch Air Gaps gut geschützt sind. Die Schadsoftware verbreitete sich ➡ Weiterlesen