Profi-Übersetzer lokalisieren Malware

Korrekte Sprache, überzeugende Gestaltung und lokale Zahlungsmethoden: Cyberkriminelle verwenden immer mehr Mühe darauf, die Versuche, ahnungslose Nutzer mit maßgeschneiderten Angriffen zu übertölpeln. Das ist das Ergebnis einer Sicherheitsstudie von Sophos.

Dafür hat der IT-Sicherheitsdienstleister in der Zeit von Januar bis April die Vorgänge in den mehreren Millionen Security-Endpoints ausgewertet. Wie das Unternehmen mitteilt, geraten offenbar auch immer mehr Cyberkriminelle in einen Konkurrenzkampf. Daher sei eine weitere Professionalisierung zu beobachten.

Daher werden immer häufiger auch lokale Anbieter, Zahlungsmethoden oder Marken verwendet, um Nutzer in ihren Heimatländern zu täuschen. Offenbar haben die Cyberkriminellen inzwischen auch das Sprach-Problem in den Griff bekommen. In perfekter Landessprache, werden die potentiellen Opfer angesprochen.

Die Kriminellen prüfen zunächst, welchem Land die IP-Adresse des Opfers zuzuordnen ist und darüber hinaus auch, in welcher Sprache die Windows-Einstellungen vorgenommen wurden. Um die Glaubwürdigkeit etwa von betrügerischen E-Mails zu steigern, verbergen die Angreifer Ransomware in authentisch anmutenden E-Mail-Benachrichtigungen mit gefälschten Logos bekannter lokaler Marken.

Gerne imitieren die Angreifer dafür digitale Benachrichtigungen von Postgesellschaften, Steuer- und Strafverfolgungsbehörden oder Versorgungsunternehmen. Die Nachrichten enthalten gefälschte Lieferscheine, Rückerstattungen, Strafzettel oder auch eine angebliche Stromrechnung. Vorsicht sei auch bei Bewerbungsschreiben geboten. Denn auch über den Versand von Bewerbungen versuchen die Angreifer ihren Opfern Erpresser-Software unterzujubeln. Gebrochene Sprache, Rechtschreib- oder Grammatikfehler werden in solchen Aussendungen immer seltener.

Ein Beispiel dafür lieferte im Januar eine ausgefeilte Phishing-Attacke via PayPal, die die Opfer teilweise mit korrektem Namen richtiger Adresse angesprochen hatte. Dabei sollten Nutzer angeblich eine Transaktion von 300 Euro stoppen. Ziel dieser Attacke war aber das Ergaunern von Nutzerdaten.

Phishing ohne Rechtschreibfehler. Die Nachricht, die angeblich von PayPal stammt, soll Nutzer dazu verleiten, ihre Konto-Daten weiterzugeben. Angeblich sei es noch bis zum 17.01.2016 möglich, die Transaktion zu stoppen. (Screenshot: sililcon.de)

“In zunehmendem Maße nehmen Cyberkriminelle sogar die Dienste professioneller Übersetzer in der Zielregion in Anspruch, um ihre E-Mail-Fallen so echt wie möglich aussehen zu lassen”, erklärt Chester Wisniewski, leitender Sicherheitsberater bei Sophos. “Außerdem wissen wir, dass gerade Kriminelle, die Banking Trojaner einsetzen wollen, sich der regionalen Varianten bedienen. Schadware, die die größten regionalen Geldinstitute zum Ziel hat, ist also ebenso lohnenswert wie wahrscheinlich.”

Doch nicht nur durch die Dienste von Übersetzern schreitet die Industrialisierung der Cyberkriminellen weiter voran. Für den Versand von bösartigen Mails werden auch kriminelle Dienstleistungen eingekauft, wie etwa der Zugriff auf gekaperte Rechner.

Wenn ein Angreifer beispielsweise auf einem deutschen Rechner über eine Banking-Malware an Bank-Informationen gekommen ist, dann werden inzwischen so genannte Money Mules eingesetzt. Diese realen Personen heben mit den mit Hilfe der geklauten Informationen gefälschten Geldkarten dann vom Bankautomaten Bargeld ab. Mit Schadware-Varianten ist es nicht getan, wie die Studie außerdem zeigt. “Die Nutzung von Kreditkarten ist für Kriminelle naturgemäß riskant – also haben sie sich darauf verlegt, die erpressten Zahlungen von Ransomware-Opfern über anonyme Internet-Zahlungsmethoden abzuwickeln”, ergänzt Wisniewski die Auswertung, über die Sophos keine weiteren Details veröffentlicht, wie das Unternehmen auf Nachfrage von silicon.de erklärt. Vor allem in den USA und im Vereinigten Königreich konnten die Sophos-Forscher dieses Vorgehen nachverfolgen. Es sei nur eine Frage der Zeit, bis sich dieser Trend auch nach Deutschland und Europa überschwappe.

Auch bei der Analyse der Schadsoftware-“Stämme” zeigen sich regionale Besonderheiten. So werden bestimmte Schädlingsgruppen in einigen Ländern besonders häufig eingesetzt. Lokalisierte Versionen von Cryptowall suchen vor allem in USA, Großbritannien, Kanada, Australien, Deutschland und Frankreich nach Opfern. TorrentLocker-Variationen bedrohen in erster Linie Großbritannien, Italien, Australien und Spanien. Die Malware TeslaCrypt attackiert maßgeschneidert vor allem Großbritannien, die USA, Kanada, Singapur und Thailand.

Für den Angriff auf die Nutzer von bestimmten Banken und Finanzinstitute etwa in deutschsprachigen Regionen sind dies laut Sophos vor allem Trustezeb, Dridex und Zbot. Trustezeb “spricht” Deutsch und kommt daher vor allem in der DACH-Region zum Einsatz. Dridex ist vorherrschend in Deutschland und in den USA und Zbot ist zwar weltweit verbreitet, wird aber vor allem in Deutschland, den USA, Großbritannien, Kanada, Australien, Italien, Spanien und Japan genutzt.

Einen weiteren Trend konnte IBM Security im aktuellen “Cyber Security Intelligence Index 2016” ausmachen. Laut den IBM-Sicherheitsexperten zielen Kriminelle nicht mehr auf Bank-Daten wie etwa Kreditkarten-Nummern, sondern auf Patienten-Daten.

“2014 befand sich der Gesundheitssektor auf unserer Rangliste der am häufigsten angegriffenen Branchen noch nicht einmal in den Top 5″, sagt Gerd Rademann, Business Unit Executive, IBM Security Systems DACH. “Das hat sich im Laufe des Jahres 2015 rasant geändert – heute ist die Gesundheitsbranche aus handfesten Gründen das beliebteste Angriffsziel von Cyberkriminellen, noch vor der Fertigungsindustrie und der Finanzwirtschaft.”

Patientenakten scheinen auf dem Schwarzmarkt derzeit äußerst begehrt, denn während sich eine Kreditkartennummer leicht ändern lässt, sind in Patientendaten einzigartige persönliche Informationen wie Geburtsdatum, Sozialversicherungsnummern oder ärztliche Diagnosen gespeichert.

Redaktion

View Comments

  • Das Ganze erinnert an die realen Raubüberfälle und Einbrüche in NRW, bevorzugt durch (süd-) osteuropäische Banden und auch auch Verbrechern aus Benelux. Auch hier hat die Polizei und die Behörden das Nachsehen. Wann reagiert die Politik endlich massiv und sofort???
    Wenn hier nicht bald reagiert wird nehmen Populisten und rechte Parteien das heft in die Hand. Ist unser demokratisches System und unser Rechtstaat am Ende? Haben wir nur Schönwetter-Politiker, die in Krisen versagen?

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago