Ein vom chinesischen Staat gesponserter Bedrohungsakteur, bekannt als Mustang Panda, zielt mit drei Malware-Varianten, die auf Google Drive, Dropbox und ähnlichen Cloud-Speicherlösungen gehostet werden, auf Regierungsorganisationen und Forscher auf der ganzen Welt ab (öffnet in neuem Tab).
Trend Micro Forscher entdeckten kürzlich die neue Malware-Kampagne, die vor allem auf Organisationen in Australien, Japan, Taiwan, Myanmar und den Philippinen abzielt.
Mustang Panda wurde im März 2022 gestartet und hat mindestens bis Oktober gedauert. Die Angreifer erstellten eine Phishing-E-Mail, schickten sie an eine gefälschte Adresse und hielten das eigentliche Opfer in CC. Auf diese Weise, so vermuten die Forscher, wollten die Angreifer die Chancen minimieren, von Antiviren-Tools, E-Mail-Sicherheitslösungen und Ähnlichem entdeckt zu werden.
Übermittlung bösartiger Archive
„Der Betreff der E-Mail kann leer sein oder den gleichen Namen wie das bösartige Archiv tragen“, heißt es in dem Bericht. „Anstatt die Adressen der Opfer in die Kopfzeile der E-Mail einzufügen, verwendeten die Bedrohungsakteure gefälschte E-Mails. In der Zwischenzeit wurden die echten Opferadressen in die „CC“-Headerzeile geschrieben, wahrscheinlich um die Sicherheitsanalyse zu umgehen und die Ermittlungen zu verlangsamen.
Um eine Entdeckung zu vermeiden, haben sie die Malware auch auf legitimen Cloud-Speicherlösungen in einer ZIP- oder RAR-Datei gespeichert, da diese Plattformen in der Regel von Sicherheitstools auf eine Whitelist gesetzt werden. Sollte das Opfer jedoch auf den Trick hereinfallen, die Archivdatei herunterladen und ausführen, würde es diese drei benutzerdefinierten Malware-Stämme erhalten: PubLoad, ToneIns und ToneShell.
PubLoad ist ein Stager, der die nächste Stufe der Nutzlast von seinem C2-Server herunterlädt. Außerdem fügt er neue Registrierungsschlüssel und geplante Aufgaben hinzu, um die Persistenz zu gewährleisten. ToneIns ist ein Installationsprogramm für ToneShell, die Haupt-Backdoor. Der Prozess mag zwar übermäßig kompliziert klingen, funktioniert aber als Anti-Sandbox-Mechanismus, so die Forscher, da die Backdoor in einer Debugging-Umgebung nicht ausgeführt werden kann.
Die Hauptaufgabe der Malware besteht darin, Dateien hoch- und herunterzuladen und auszuführen. Sie kann unter anderem Shells für den Datenaustausch im Intranet erstellen oder die Schlafkonfiguration ändern. Die Forscher sagen, dass die Malware in letzter Zeit einige neue Funktionen erhalten hat, was darauf hindeutet, dass Mustang Panda hart an der Verbesserung seines Toolkits arbeitet und von Tag zu Tag gefährlicher wird.
Was man gegen solche Malware tun kann:
Erkennen Sie die Anzeichen von Phishing
Eine der besten Möglichkeiten, Phishing zu verhindern, besteht darin, zu wissen, wie man Phishing-E-Mails erkennt. Auch wenn jede Nachricht ein wenig anders aussieht, gibt es doch einige Anzeichen, an denen Sie Phishing erkennen können.
Häufige Warnzeichen für Phishing sind unter anderem:
- Ungewohnte Begrüßung oder Tonfall
- Unaufgeforderte Nachrichten
- Grammatik- und Rechtschreibfehler
- Ein Gefühl der Dringlichkeit
- Verdächtige Links oder Anhänge
- Ersuchen um persönliche Informationen
- Unstimmigkeiten bei E-Mail-Adressen, Links usw.
- Ungewöhnliche Anfragen
- Warnungen, dass Sie etwas gewonnen haben
Wenn die fragliche E-Mail auf eines dieser Kriterien zutrifft, könnte es sich um einen Phishing-Betrug handeln.
Verwenden Sie Antiviren-Software
Eine weitere gute Möglichkeit, sich vor Phishing und anderen Bedrohungen der Cybersicherheit zu schützen, ist die Verwendung von Antiviren-Software. Auch Windows 10 benötigt einen guten frei Virenschutz, damit sie gar keinen Virus bekommen können. Wenn Sie versehentlich auf einen verdächtigen Link klicken, kann Ihre Antivirensoftware eingreifen, bevor Viren Ihr Gerät infizieren und Sie und Ihre persönlichen Daten ungeschützt lassen können.
Reagieren Sie nicht auf eine Phishing-E-Mail
Wenn Ihnen eine Nachricht in Ihrem Posteingang verdächtig vorkommt, sollten Sie nicht darauf antworten. Wenn Sie antworten, lassen Sie den Betrüger wissen, dass er es mit einer aktiven E-Mail-Adresse zu tun hat. Dies kann sie dazu veranlassen, auch in Zukunft zu versuchen, Sie zu betrügen.
Melden Sie verdächtige Nachrichten an Ihren E-Mail-Anbieter
Wenn Sie eine verdächtige Nachricht in Ihrem Posteingang bemerken, sollten Sie sie so schnell wie möglich melden. Wenn die Phishing-Nachricht an Ihre berufliche E-Mail-Adresse gesendet wurde, sollten Sie auch die IT-Abteilung Ihres Unternehmens informieren. Auf diese Weise kann sie potenzielle Phishing-Bedrohungen im Auge behalten und die Posteingänge von Ihnen und Ihren Kollegen schützen.
Unabhängig davon, ob es sich um einen Arbeitsvorfall handelt oder nicht, sollten Sie einen möglichen Phishing-Betrug auch Ihrem E-Mail-Anbieter melden. Dieses Verfahren kann je nach Anbieter unterschiedlich sein.
So melden Sie Phishing-E-Mails bei Google Mail:
Rufen Sie die Phishing-E-Mail auf
Klicken Sie auf das Symbol mit den drei Punkten neben der Schaltfläche „Antworten“.
Wählen Sie „Phishing melden“.
Klicken Sie auf „Phishing-Nachricht melden“.
Und so melden Sie Phishing-E-Mails in Outlook:
Gehen Sie zu der Phishing-E-Mail
Klicken Sie auf das Symbol mit den drei Punkten neben der Schaltfläche „Antworten“.
Wählen Sie „Als Phishing markieren“.
Klicken Sie auf „Melden“.
Vermeiden Sie die Weitergabe persönlicher Informationen
Bei der Verwendung von E-Mail ist es wichtig, dass Sie keine sensiblen Daten versenden. So können Sie verhindern, dass Ihre privaten Daten in die falschen Hände geraten und zu betrügerischen Zwecken verwendet werden.
Es ist auch wichtig zu wissen, dass ein seriöses Finanzinstitut Sie nicht per E-Mail nach Ihren persönlichen Daten fragen würde. Falls doch, handelt es sich wahrscheinlich um einen Phishing-Versuch.