IT-Security-Informationen

Man sollte nur E-Mail-Anhänge und Links von Absendern öffnen, die man kennt. Das ist ein oft gegebener Ratschlag, wenn es darum geht, E-Mail-basierte Malware und Phishing-Angriffe zu verhindern. Im folgenden Artikel zeigen wir jedoch eine Angriffstechnik bei der die bestehenden E-Mail-Konversationen eines Phishinig-Opfers und damit die Vertrauensbeziehungen genutzt werden, um sich auf neue Systeme zu verbreiten – bekannt ist diese Technik als E-Mail Conversation Thread Hijacking. Gegen diese Art von Angriff hilft der vorherige Ratschlag nicht weiter. Wir erklären, wie E-Mail Conversation Thread Hijacking von Angreifern eingesetzt wird und warum es die Wahrscheinlichkeit dramatisch erhöht, dass ihre Opfer schädliche Links oder Anhänge öffnen.

Das Hornetsecurity Security Lab beobachtete einen 1000 % Anstieg in den Downloadzahlen des Emotet Loaders. Die Zunahme der Downloadzahlen des Emotet-Loaders korreliert mit der Packer-Änderung der Malware, was dazu führt, dass der Emotet-Loader von Anti-Viren-Software weniger erkannt wird. Die von uns gesammelten Daten deuten darauf hin, dass diese Zunahme darauf zurückzuführen ist, dass der Loader nicht direkt erkannt wird und somit auch die Download-URLs der Emotet-Loader weniger durch Sicherheitsmechanismen blockiert werden. Jedoch schließen viele AV-Anbieter die Erkennungslücke bereits, wodurch die Identifizierung des Emotet-Loaders zunimmt und damit auch die Anzahl der Downloads wieder abnimmt. Die folgende Analyse gibt gute Einblicke in die Auswirkungen eines Emotet-Packer-Updates.

Am 07.07.2020 hat Mozilla seinen Dienst Firefox Send wegen Missbrauchs durch Malware vorübergehend deaktiviert. Das Security Lab von Hornetsecurity erklärt, wie Malware Firefox Send missbraucht hat. Zu diesem Zweck wird eine Malspam-Kampagne analysiert, die eine Variante der Malware Ursnif verbreitet. Die Kampagne benutzte den Dienst Firefox Send, um ihren bösartigen Downloader zu hosten und den Opfern diese bösartigen Firefox Send-Links zu senden. Solcher Missbrauch veranlasste Mozilla dazu, den Firefox-Send-Dienst zu deaktivieren, da dem Dienst derzeit eine Funktion zur Meldung von Missbrauch fehlt. Das heißt, selbst wenn Sicherheitsforscher diese bösartigen Links gefunden haben, könnten sie Mozilla nicht gemeldet werden, um sie abzuschalten. Unsere Analyse zeigt jedoch weiter, dass Malware bereits andere Dienste missbraucht, so dass die Deaktivierung von Firefox Send – obwohl es die richtige Entscheidung war – keine Auswirkungen auf Malware-Kampagnen hat.