Maßschneider-Malware: Hacker setzen auf Lokalkolorit

Hacker sprechen Deine Sprache, lieben so wie Du bekannte Marken und sahnen mit neuen Zahlungsmethoden ab.

„Warnung vor Betrug“ stand in der Betreffzeile der E-Mail von Amazon. Mit der namentlichen Ansprache warnte der Online-Händler Kunden vor den schlimmen Cyberkriminellen und riet zur Vorsicht. Am besten man würde gleich sein Passwort ändern und auf den Link in dieser Mail klicken, heißt es weiter. Das Kuriose dabei: Die E-Mail stammte natürlich nicht von Amazon, sondern sie wurde von Hackern in Umlauf gebracht, die mit einem Phishing-Angriff in bester Amazon-Aufmachung so zusagen vor sich selber warnten. Hacker werden immer erfinderischer und vor allem: sie müssen professioneller werden, weil ihre potenziellen Opfer wachsamer geworden sind.

„Auch Cyberkriminelle stehen innerhalb ihrer Branche unter dem Druck, sich immer weiter professionalisieren zu müssen, um im hart umkämpften Markt zu bestehen“, schreibt der IT-Sicherheitsspezialist Sophos. Der Hersteller hat festgestellt, dass sich Cyberkriminelle zunehmend korrekter Sprachen, lokaler Zahlungsmethoden sowie landestypischer Marken bedienen, um ihre Opfer in den unterschiedlichen Ländern zu ködern. Millionen von Computer weltweit hat Sophos drei Monate lang auf Angriffe aus dem Internet überwacht und hat nun einige interessante Fakten zum Vorgehen der digitalen Betrüger gesammelt.

Für den Einsatz einer regional zugeschnittenen Malware checken die Cybergauner zunächst, aus welchem Land die IP-Adresse der Ziel-Computer stammt und in welcher Sprache die Windows Einstellungen vorgenommen wurden. Um dann die Glaubwürdigkeit beispielsweise von betrügerischen E-Mails zu steigern, wird auf geschickte Weise Ransomware in authentisch aussehenden E-Mail-Benachrichtigungen mit täuschend echt gefälschten Logos bekannter lokaler Marken versteckt.

So imitieren die Betrüger etwa äußerst professionell die digitalen Benachrichtigungen lokaler Postgesellschaften, Steuer- und Strafverfolgungsbehörden oder Versorgungsunternehmen. Es werden gefälschte Lieferscheine, Rückerstattungen, Strafzettel oder Stromrechnungen versendet. Auch der Versand von Ransomware in professionell und seriös anmutenden Bewerbungsschreiben nimmt zu.

Die bekannten hanebüchenen Schreib-, Interpunktions- und Grammatikfehler, bisher untrügliches Indiz für gefälschte E-Mails, fanden die SophosLabs-Experten im Analysezeitraum dagegen immer seltener. „In zunehmendem Maße nehmen Cyberkriminelle sogar die Dienste professioneller Übersetzer in der Zielregion in Anspruch, um ihre E-Mail-Fallen so echt wie möglich aussehen zu lassen“, schreibt Sophos.

Immer häufiger infizieren die Angreifer ihre Ziele darüber hinaus nicht selbst. Sie greifen auf die Dienstleistungen anderer Cyberkrimineller zurück, die bereits Tausende von Computern unbemerkt infiziert haben und den Zugriff darauf nun meistbietend verkaufen. Auch der Einsatz so genannter „Money Mules“ (Geld-Maultiere) kommt vermehrt vor. Ein Beispiel: Ein Cyberkrimineller von irgendwo auf der Welt hat Banking-Malware auf Computern in Deutschland installiert. Um an das Geld der ahnungslosen Opfer zu kommen, nutzt er nun vor Ort seine Money Mules, also Leute, die er angeheuert hat, um an deutschen Geldautomaten mit gefälschten Karten Geld abzuheben. Gefälschte Karten wohlgemerkt, die mithilfe von Kartendaten und PIN-Nummern produziert wurden, die zuvor durch die Schadsoftware gestohlen wurden.

Die Schadsoftware-Stämme, die von den Cyberkriminellen für ihre lokalen Angriffe genutzt werden, sind allesamt keine Unbekannten: Interessante Ergebnisse konnten die Sophos-Forscher aus der Analyse verschiedener Ransomware-Stämme ziehen, die jeweils lokalisiert Ziele in unterschiedlichen Ländern attackieren. So zielen lokalisierte Versionen von Cryptowall beispielsweise überwiegend auf Opfer in den USA, Großbritannien, Kanada, Australien, Deutschland und Frankreich. TorrentLocker-Variationen bedrohen in erster Linie Großbritannien, Italien, Australien und Spanien und TeslaCrypt attackiert maßgeschneidert vor allem Großbritannien, die USA, Kanada, Singapur und Thailand.

Mit Schadware-Varianten allein ist es noch nicht getan. „Sogar Geldwäsche scheint lokalisiert lukrativer zu sein“, berichtet Sophos. Vermehrt würden Hacker von für sie riskanten Kreditkartenzahlungen absehen und stattdessen die erpressten Zahlungen von Ransomware-Opfern über anonyme Internet-Zahlungsmethoden abwickeln. Vor allem in den USA und in Großbritannien konnten die Sophos-Forscher dieses Vorgehen nachverfolgen. Es sei nur eine Frage der Zeit, bis sich dieser Trend auch hierzulande deutlich zeigen werde.

Bildquelle: Sophos

Die mit einem * markierten Felder sind Pflichtfelder.