Täter finanziell motiviert


Warnung: Phishing-Kampagne zielt mit neuer Malware auf Deutschland
Die TorNet-Backdoor stellt eine Verbindung zum C2-Server her und verbindet den Computer des Opfers mit dem TOR-Netzwerk


Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Forscher von Cisco Talos warnen vor einer neuen Phishing-Kampagne, die auf Nutzer in Deutschland und Polen abzielt, um verschiedene Arten von Malware zu verbreiten, darunter eine neue Backdoor namens "TorNet". Die Phishing-Mails geben vor, gefälschte Überweisungsbestätigungen von Finanzinstituten oder gefälschte Auftragsbestätigungen von Produktions- und Logistikunternehmen zu sein.

"Die Phishing-E-Mails sind hauptsächlich in polnischer und deutscher Sprache verfasst, was darauf hindeutet, dass die Täter vor allem auf Nutzer in diesen Ländern abzielen", schreiben die Forscher. "Wir haben auch einige Beispiele für Phishing-E-Mails aus derselben Kampagne gefunden, die in englischer Sprache verfasst sind. Aufgrund des Themas der Phishing-E-Mails und der Dateinamen der E-Mail-Anhänge gehen wir mit mittlerer Sicherheit davon aus, dass der Täter finanziell motiviert ist. Die Phishing-E-Mail enthält Anhänge mit der Dateierweiterung ".tgz", was darauf hindeutet, dass der Täter GZIP verwendet hat, um das TAR-Archiv der bösartigen Anhangsdatei zu komprimieren, um den eigentlichen bösartigen Inhalt des Anhangs zu verbergen und die Erkennung der E-Mail zu umgehen".

Die neue Malware-Variante mit dem Namen "TorNet" wird durch den PureCrypter-Loader installiert, nachdem ein Benutzer den Anhang geöffnet hat.

"Wenn ein Benutzer den komprimierten E-Mail-Anhang öffnet, manuell entpackt und eine ausführbare .NET-Loader-Datei startet, lädt er schließlich verschlüsselte PureCrypter-Malware von einem kompromittierten Staging-Server herunter", schreiben die Forscher.
"Der Loader entschlüsselt die PureCrypter-Malware und führt sie im Systemspeicher aus. Bei einigen Eindringversuchen im Rahmen dieser Kampagne haben wir festgestellt, dass die PureCrypter-Malware die TorNet-Backdoor ablegt und ausführt. Die TorNet-Backdoor stellt eine Verbindung zum C2-Server her und verbindet den Computer des Opfers mit dem TOR-Netzwerk. Sie ist in der Lage, beliebige .NET-Assemblies im Speicher des Opfercomputers zu empfangen und auszuführen, die vom C2-Server heruntergeladen wurden, wodurch sich die Angriffsfläche für weitere Eindringversuche vergrößert."

Eine zeitgemäße Schulung des Sicherheitsbewusstseins und ein sinnvolles Human Risk Management können Ihre Organisation gegen Phishing und andere Social-Engineering-Angriffe absichern. (KnowBe4: ra)

eingetragen: 18.02.25

KnowBe4: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

Vorgehen der Cyberkriminellen ist simpel Neue PDF-Mishing-Kampagne entdeckt

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen