Sicherheitsforscher von Check Point haben eine großangelegte und branchenübergreifende Phishing-Kampagne aufgedeckt, die deutsche Unternehmen ins Visier nimmt. Ziel der Angreifer ist die Installation der Remote Control-Software „Remcos“.
Die Angreifer versenden gefälschte E-Mailanfragen zu angeblichen Rechnungen oder Bestellungen als Dateianhang an die Zielunternehmen. Beim Öffnen der Dokumente wird dann die Remote Control-Software heruntergeladen und versucht eine Verbindung mit dem Command & Control (C&C)-Server der Angreifer aufzubauen.
Der Anhang ist in der Regel ein Archiv, das eine exe.-Datei enthält, die als PDF oder eine andere Dokumentdatei getarnt ist. Bei der Tarnung handelt es sich um eine einfache Komma-PDF-Erweiterung und ein Ordnersymbol.
Vorgehen der Angreifer
Der Angreifer verwischt dann seine Spuren, indem er DDNS (Dynamic DNS) verwendet, einen legitimen Dienst zum Zuordnen von Internet-Domainnamen zu dynamischen IP-Adressen. Durch die Verwendung kostenloser DDNS-Konten verfügt der Angreifer über eine große Anzahl von IP-Adressen und kann damit die Rechner der Opfer steuern.
Was ist Remcos?
Remcos wird von einem Unternehmen namens „Breaking Security“ auf einer öffentlichen Website als legitimes Tool vertrieben und verkauft, Remcos ist eine Abkürzung für „Remote Control and Surveillance“ und wird als Fremium-Modell mit einer Pro-Version zum Preis von 58 € - 389 € verkauft. Durch die Verwendung von Remcos kann der Angreifer die volle Kontrolle über eine andere Maschine erlangen und die folgenden Funktionen nutzen:
Umgehen von AV-Produkten und Privilegien-Eskalation:
- Erhalten Sie Admin-Rechte
- UAC (User Account Control) deaktivieren
- Aufrechterhaltung der Persistenz auf der Zielmaschine
- Ausführung als legitimer Prozess (z.B. Einspeisung in den Windows-Prozess)
- Im Hintergrund laufen, für das Opfer unsichtbar.
Fähigkeiten:
- Keylogger und Zwischenablage
- ScreenLogger
- Audioaufnahme
- Passwörter extrahieren
Alle Kunden von Check Point in Deutschland waren zu jeder Zeit geschützt, da die verdächtigen E-Mail-Anhänge von der Threat Emulation-Technologie erkannt und geblockt wurden.