Profi-Übersetzer lokalisieren Malware

Die Professionalisierung von Cyberkriminellen schreitet weiter voran. Selbst die Dienste von professionellen Übersetzern werden inzwischen für den Malwareversand eingesetzt oder missbraucht. Die Attacken werden immer gezielter und können daher immer häufiger selbst erfahrene Mitarbeiter täuschen.  

Korrekte Sprache, überzeugende Gestaltung und lokale Zahlungsmethoden: Cyberkriminelle verwenden immer mehr Mühe darauf, die Versuche, ahnungslose Nutzer mit maßgeschneiderten Angriffen zu übertölpeln. Das ist das Ergebnis einer Sicherheitsstudie von Sophos.

Dafür hat der IT-Sicherheitsdienstleister in der Zeit von Januar bis April die Vorgänge in den mehreren Millionen Security-Endpoints ausgewertet. Wie das Unternehmen mitteilt, geraten offenbar auch immer mehr Cyberkriminelle in einen Konkurrenzkampf. Daher sei eine weitere Professionalisierung zu beobachten.

Daher werden immer häufiger auch lokale Anbieter, Zahlungsmethoden oder Marken verwendet, um Nutzer in ihren Heimatländern zu täuschen. Offenbar haben die Cyberkriminellen inzwischen auch das Sprach-Problem in den Griff bekommen. In perfekter Landessprache, werden die potentiellen Opfer angesprochen.

Die Kriminellen prüfen zunächst, welchem Land die IP-Adresse des Opfers zuzuordnen ist und darüber hinaus auch, in welcher Sprache die Windows-Einstellungen vorgenommen wurden. Um die Glaubwürdigkeit etwa von betrügerischen E-Mails zu steigern, verbergen die Angreifer Ransomware in authentisch anmutenden E-Mail-Benachrichtigungen mit gefälschten Logos bekannter lokaler Marken.

Gerne imitieren die Angreifer dafür digitale Benachrichtigungen von Postgesellschaften, Steuer- und Strafverfolgungsbehörden oder Versorgungsunternehmen. Die Nachrichten enthalten gefälschte Lieferscheine, Rückerstattungen, Strafzettel oder auch eine angebliche Stromrechnung. Vorsicht sei auch bei Bewerbungsschreiben geboten. Denn auch über den Versand von Bewerbungen versuchen die Angreifer ihren Opfern Erpresser-Software unterzujubeln. Gebrochene Sprache, Rechtschreib- oder Grammatikfehler werden in solchen Aussendungen immer seltener.

Ein Beispiel dafür lieferte im Januar eine ausgefeilte Phishing-Attacke via PayPal, die die Opfer teilweise mit korrektem Namen richtiger Adresse angesprochen hatte. Dabei sollten Nutzer angeblich eine Transaktion von 300 Euro stoppen. Ziel dieser Attacke war aber das Ergaunern von Nutzerdaten.

Phishing ohne Rechtschreibfehler. Die Nachricht, die angeblich von PayPal stammt, soll Nutzer dazu verleiten, ihre Konto-Daten weiterzugeben. Angeblich sei es noch bis zum 17.01.2016 möglich, die Transaktion zu stoppen. (Screenshot: sililcon.de)
Phishing ohne Rechtschreibfehler. Die Nachricht, die angeblich von PayPal stammt, soll Nutzer dazu verleiten, ihre Konto-Daten weiterzugeben. Angeblich sei es noch bis zum 17.01.2016 möglich, die Transaktion zu stoppen. (Screenshot: sililcon.de)

“In zunehmendem Maße nehmen Cyberkriminelle sogar die Dienste professioneller Übersetzer in der Zielregion in Anspruch, um ihre E-Mail-Fallen so echt wie möglich aussehen zu lassen”, erklärt Chester Wisniewski, leitender Sicherheitsberater bei Sophos. “Außerdem wissen wir, dass gerade Kriminelle, die Banking Trojaner einsetzen wollen, sich der regionalen Varianten bedienen. Schadware, die die größten regionalen Geldinstitute zum Ziel hat, ist also ebenso lohnenswert wie wahrscheinlich.”

Doch nicht nur durch die Dienste von Übersetzern schreitet die Industrialisierung der Cyberkriminellen weiter voran. Für den Versand von bösartigen Mails werden auch kriminelle Dienstleistungen eingekauft, wie etwa der Zugriff auf gekaperte Rechner.

Wenn ein Angreifer beispielsweise auf einem deutschen Rechner über eine Banking-Malware an Bank-Informationen gekommen ist, dann werden inzwischen so genannte Money Mules eingesetzt. Diese realen Personen heben mit den mit Hilfe der geklauten Informationen gefälschten Geldkarten dann vom Bankautomaten Bargeld ab. Mit Schadware-Varianten ist es nicht getan, wie die Studie außerdem zeigt. “Die Nutzung von Kreditkarten ist für Kriminelle naturgemäß riskant – also haben sie sich darauf verlegt, die erpressten Zahlungen von Ransomware-Opfern über anonyme Internet-Zahlungsmethoden abzuwickeln”, ergänzt Wisniewski die Auswertung, über die Sophos keine weiteren Details veröffentlicht, wie das Unternehmen auf Nachfrage von silicon.de erklärt. Vor allem in den USA und im Vereinigten Königreich konnten die Sophos-Forscher dieses Vorgehen nachverfolgen. Es sei nur eine Frage der Zeit, bis sich dieser Trend auch nach Deutschland und Europa überschwappe.

Auch bei der Analyse der Schadsoftware-“Stämme” zeigen sich regionale Besonderheiten. So werden bestimmte Schädlingsgruppen in einigen Ländern besonders häufig eingesetzt. Lokalisierte Versionen von Cryptowall suchen vor allem in USA, Großbritannien, Kanada, Australien, Deutschland und Frankreich nach Opfern. TorrentLocker-Variationen bedrohen in erster Linie Großbritannien, Italien, Australien und Spanien. Die Malware TeslaCrypt attackiert maßgeschneidert vor allem Großbritannien, die USA, Kanada, Singapur und Thailand.

Für den Angriff auf die Nutzer von bestimmten Banken und Finanzinstitute etwa in deutschsprachigen Regionen sind dies laut Sophos vor allem Trustezeb, Dridex und Zbot. Trustezeb “spricht” Deutsch und kommt daher vor allem in der DACH-Region zum Einsatz. Dridex ist vorherrschend in Deutschland und in den USA und Zbot ist zwar weltweit verbreitet, wird aber vor allem in Deutschland, den USA, Großbritannien, Kanada, Australien, Italien, Spanien und Japan genutzt.

Einen weiteren Trend konnte IBM Security im aktuellen “Cyber Security Intelligence Index 2016” ausmachen. Laut den IBM-Sicherheitsexperten zielen Kriminelle nicht mehr auf Bank-Daten wie etwa Kreditkarten-Nummern, sondern auf Patienten-Daten.

“2014 befand sich der Gesundheitssektor auf unserer Rangliste der am häufigsten angegriffenen Branchen noch nicht einmal in den Top 5″, sagt Gerd Rademann, Business Unit Executive, IBM Security Systems DACH. “Das hat sich im Laufe des Jahres 2015 rasant geändert – heute ist die Gesundheitsbranche aus handfesten Gründen das beliebteste Angriffsziel von Cyberkriminellen, noch vor der Fertigungsindustrie und der Finanzwirtschaft.”

Patientenakten scheinen auf dem Schwarzmarkt derzeit äußerst begehrt, denn während sich eine Kreditkartennummer leicht ändern lässt, sind in Patientendaten einzigartige persönliche Informationen wie Geburtsdatum, Sozialversicherungsnummern oder ärztliche Diagnosen gespeichert.