Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Carbanak: Cyberkriminelle nutzen Google-Dienste

20.01.2017

 zur Newsdatenbank home

Die durch erfolgreiche Malware-Angriffe auf Banken bekannte Carbanak-Gruppe, nutzt inzwischen unverdächtige Google-Dienste, um ihre Attacken zu verschleiern, wie die Sicherheitsfirma Forcepoint herausfand.

Die Sicherheitsforscher fanden dies heraus, als sie ein trojanisiertes RTF-Dokument untersuchten. Inhalt war ein verschlüsseltes Visual Basic Script. Dieses wies typische Merkmale früherer Carbanak-Malware auf. Dass aktuelle Malware-Muster Google-Services für die Kommando- und Kontroll-Kommunikation (Command and Control, C&C) nutzen ist allerdings neu. Daraufhin informierte Forcepoint Google über den Missbrauch seiner Dienste.

Die „Carbanak Cybergang“ ist vermutlich seit 2013 aktiv. Der Name basiert auf ihrer gleichnamigen Malware. Das Ziel der Malware ist es, Banken zu berauben. Zugriff auf Geldautomaten verschafften sie sich in der Vergangenheit über kompromittierte Computersysteme der Finanzinstitute. Anfang 2015 schätzte Kaspersky, dass die Gruppe mindestens 300 Millionen Dollar von 100 Banken in 30 Ländern erbeutet haben. Möglicherweise könnte es sogar das dreifache sein.

Durch die VBScript-Malware, die jetzt entdeckt wurde, richteten die Carbanak-Hacker zunächst einen unverdächtigen C&C-Kanal ein. Zunächst kommuniziert das Script „ggldr“ mit den Google-Diensten Google Forms, Apps Script, und Google Tabellen zum erhalten weiterer Befehle. Jeder infizierte Nutzer bekommt dabei eine eigene Google-Tabelle, um das Opfer zu verwalten.

Ziel der Angreifer ist es, durch die Nutzung verbreiteter und legitimer Services Aktivitäten weniger verdächtig aussehen zu lassen und damit eine Entdeckung zu vermeiden. Die Forcepoint-Forscher erklärten: „Es ist unwahrscheinlich, dass diese gehosteten Google-Services in einer Organisation standardmäßig blockiert werden. Daher ist es wahrscheinlicher, dass der Angreifer erfolgreich einen C&C-Kanal einrichten kann.“ Durch Googles öffentliche Angebote seien die Erfolgschancen besser als durch neu geschaffene Domains oder Domains ohne Reputation.

Die Sicherheitsforscher werden weiterhin die Aktivitäten der Gruppe beobachten und ihre Erkenntnisse wie auch in der Vergangenheit mit Partnerfirmen teilen.

(ms, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89