Forscher des Sicherheitsunternehmens Kaspersky warnen vor einer erneuten ATP-Cyberkampagne mit der hochtechnisierten Malware “CozyDuke”. Hauptsächlich haben es die Kriminellen weltweit auf hochrangige Ziele wie Unternehmen, Behörden oder Institutionen abgesehen, aber auch deutsche Ziele sind mittlerweile betroffen. Ähnlich den Angriffen im letzten Jahr auf das weisse Haus und das US-Außenministerium, vermuten die Experten hinter “CozyDuke” die gleichen russischen Kriminellen, welche für die Cyberkampagnen mit “MiniDuke“, “CosmicDuke” und “OnionDuke” auf die oben genannten Ziele verantwortlich sind.

Bildschirmfoto 2015-04-27 um 11.11.44

Bild: https://securelist.com/blog/research/69731/the-cozyduke-apt/

Bei diesen gezielten ATP-Attacken nehmen sich die Kriminellen im Vorfeld viel Zeit und analysieren über Wochen die alltäglichen Verhaltensweisen und Arbeitsabläufe Ihrer potenziellen Opfer. CozyDuke setzte z.B. Spear-Phishing ein, um dem Opfers gezielt, zum Beispiel aus einem unverfänglichen Dokument heraus, einen infizierten Link zu präsentieren. Dieser Link leitet das Opfer auf mit Malware kompromittierte Internet-Seiten. Dort werden u.a. Pdf-Dateien in Form von selbstausführende RAR SFX-Dateien oder gerne auch gefälschte Flash-Videos zum Download angeboten. Nach Download und Ausführen des gefälschten angebotenen Materials, verwendet die Malware verschiedene Tarn -und Verschlüsselungstechniken um sich, unerkannt von Sicherheitssystemen, tief auf das Betriebssystem zu installieren und lädt von dort weitere Schadprogramme herunter. Dazu gehören u.a. Keylogger, die alle Tastaturanschläge protokollieren, Verschlüsselungs-Zertifikate werden gestohlen, Internetseiten zum Diebstahl von Zugangsdaten werden manipuliert. Die so gesammelten Beute wird dann an verschiedene Command und Controlserver der Kriminellen gesendet.
Weitere Informationen zu “CozyDuke” finden Sie auf Securelist.com
Tipp vom Botfrei-Team:

  1. Seien Sie kritisch beim Lesen dubioser E-Mails und deren Anhänge. Laden keine angebotenen Programme herunter. Geben Sie niemals auf weiterführenden Links persönliche Daten an. Wenn Sie sich der Echtheit der E-Mail nicht sicher sind, rufen Sie die entsprechende Seite manuell im Browser auf. Offizielle Nachrichten sind oftmals im Account hinterlegt bzw. erkundigen Sie sich beim entsprechenden Support!
  2. Wenn Sie sich nicht sicher sind, ob Sie evtl. schon Opfer dieser Phising-Attacke geworden sind, ändern Sie die Zugangsdaten auch bei anderen Diensten.
  3. Überprüfen Sie den Rechner auf evtl. Infektionen mit unserem kostenfrei bereitgestellten Entfernungstool.