26. März 2020 | | 0 Kommentare

Warnung vor Datenklau mittels Phishing erneute Welle von Phishing-Mails mit der Schadsoftware Gozi/TrickBot

Dies ist eine Warnung des N-CERT
https://www.mi.niedersachsen.de/startseite/themen/it_bevollmachtigter_der_landesregierung/niedersachsen_cert/niedersachsen-cert-150589.html

Derzeit läuft eine neue Angriffs-Welle aus der Familie Gozi/TrickBot:

Anhand von früheren Kontakten versuchen die Angreifer via E-Mail die Empfänger zum Laden und Öffnen einer im Internet abgelegten vorgeblichen Office-Datei (o.ä. wie z.B. PDF) zu bewegen. Beim Öffnen der angeblichen Office-Datei wird im Benutzer-Kontext aus dieser mittels ebenfalls enthaltenem JavaScript ein ausführbares Programm erzeugt, dass verschiedene Daten abgreift und verschlüsselt an die Command&Control-Infrastruktur (C2) übermittelt.

Weitere Informationen finden Sie beim BSI:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/WeitereBotNetze/Gozi.html

Falls Ihnen etwas verdächtiges auffällt, wenden Sie sich bitte an den für Sie zuständigen DV-Koordinierenden und weisen Sie ihn auf die folgenden Informationen hin:

Maßnahmen zur Feststellung einer Infektion:
Zur Feststellung etwaiger Infektionen sollten die Systeme auf Basis der nachstehend benannten IoC geprüft werden. Es bietet sich an,  den Ausführungspfad der Schadsoftware
C:\Users\<Benutzername>\AppData\Local\Temp
auf das Vorhandensein entsprechender Textdateien zu prüfen.

Zeitgleich empfiehlt es sich, vorhandene Ereignis-Protokolle von Proxy-Servern als auch Firewalls auf das Vorhandensein von Kommunikation mit den benannten Netzwerk-Hosts zu prüfen. Die Schad-Software kommuniziert regelmäßig mit den benannten Hosts. Das Vorhandensein einer entsprechenden Netzwerk-Kommunikation kann als dringender Verdacht des Vorliegens einer Infektion gewertet werden.

Nach Feststellung einer Infektion:
Das Endgerät sollte umgehend vom Netzwerk getrennt werden und vollständig neu aufgesetzt werden. Die das Endgerät Nutzenden sollten sämtliche Passwörter für verwendete Netzwerkanwendungen als auch die lokale Anmeldung am System umgehend ändern.

Eine aktuelle Liste der Angriffsindikatoren (Indicators of Comprimise – IoC) ist  beigefügt:

# N-CERT#200633 2020-03-03
INDICATORS OF COMPROMISE (IOC)

Prüfsummen der finalen Schadsoftware:
MD5: b5051482b237d00b0ffebcf00fbd9e13
SHA-1: d9919a4cc05b7b5a451ba5075739670ad9decba6
SHA-256: 3a76126d5596e2e94240b1c3a8e052d3790ef92540df5ff1382d0d15d02a2416
Festgestellte Dateinamen (Achtung, werden dynamisch generiert!):
earline.dll
dvsgijzsbc.txt
utsn.txt
ehhfhjvj.txt
CHXDPLUzU.txt
Festgestellte Netzwerk-Kommunikation (Hosts):
ad1.wensa.at
nort.calag.at

Kommentar verfassen