Mitte März stieg die Zahl der Brute-Force-Angriffe auf RDP-Verbindungen massiv an. Ziel der Cyberkriminellen ist, die akut gestiegene Anzahl der Remote-Arbeitsplätze im Homeoffice auszunutzen, um dadurch Zugriff auf Unternehmensnetzwerke zu erhalten.

BazarBackdor: Die neue Malware der TrickBot- Gang

Cybersicherheitsforscher haben eine neue Phishing- Kampagne entdeckt, mit der eine gut getarnte Hintertür namens BazardBackdor verbreitet werden soll. Die TrickBot-Entwickler haben damit eine neue Methode entwickelt, um Unternehmensnetzwerke zu kompromittieren.

Die Hintertür wird über eine Phishing- Email verbreitet, die sehr gut ausgearbeitet ist und daher durchaus überzeugend wirkt. Die Phishing-Kampagne nutzt die legitime Marketing-Plattform Sendgrid, um über einen Massenversand eine höchstmögliche Verbreitung zu erreichen. Die Betreffzeilen der Emails sind personalisiert und enthalten Themen wie Kundenbeschwerden, Lohnberichte mit Coronavirus-Thematik oder Kündigungslisten von Mitarbeitern. Alle diese E-Mails enthalten Links zu Dokumenten, die auf Google Docs gehostet werden. Die Täter haben sich viel Mühe gegeben, die in den E-Mails versendeten Websites echt erscheinen zu lassen. Auch die Betreffzeilen der E-Mails stimmen mit den Links überein.

Die Intention der BazarBackdoor-Kampagne ist, den Empfänger dazu zu bringen, das Dokument herunterzuladen. Die Links innerhalb der Dokumente führten tatsächlich zu Websites, die den Opfern eine Fehlermeldung präsentieren, die besagt, dass das Word-, Excel- oder PDF-Dokument, auf das sie zuzugreifen versuchen, nicht korrekt angezeigt werden kann. Die Opfer werden aufgefordert, das Begleitmaterial herunterzuladen, und es zu lesen. Wenn der Nutzer auf den Link klickt, wird eine ausführbare Datei geladen, die im Namen und Icon zu der verwendeten Kampagne passt. Zum Beispiel wird bei dem Betreff „COVID-19 ACH Payroll Report“ ein Dokument namens PreviewReport.DOC.exe herunterladen. Da Windows standardmäßig keine Dateierweiterungen anzeigt, sehen die meisten Benutzer einfach nur PreviewReport.DOC und öffnen die Datei in der Annahme, dass es sich um ein legitimes Dokument handelt.

Die in diesem bösartigen Dokument versteckte ausführbare Datei ist das Ladeprogramm für BazarBackdoor. Wenn der Benutzer das bösartige Dokument startet, bleibt der Loader für eine kurze Zeit verborgen, bevor er sich mit einem C&C-Server verbindet, um BazarBackdoor herunterzuladen.

Ähnlichkeiten zwischen BazarBackdoor und TrickBot

BazarBackdoor ist Malware der Enterprise-Klasse. Cybersicherheitsforscher gehen davon aus, dass diese Hintertür höchstwahrscheinlich von derselben Gruppe entwickelt wurde, die auch den Trojaner TrickBot entwickelt hat; beide Malware-Arten teilen sich Teile dieselben Codes sowie die Übertragungs- und Betriebsmethoden.

Aufgrund der Menge an Phishing-E-Mails, die mit dieser Kampagne verschickt werden, stellt BazarBackdoor eine ernsthafte Bedrohung für Unternehmensnetzwerke dar, die leicht zur Verteilung von Ransomware oder für andere Angriffe genutzt werden kann.

Lassen Sie nicht zu, dass BazarBackdoor Ihr Unternehmen bedroht.

BazarBackdoor kann der Einstiegsvektor für eine breite Palette von Cyber-Angriffen sein. Daher müssen Unternehmen sich schützen, damit solche Bedrohungen keinen Schaden anrichten können.

Der erste Schritt beim Schutz gegen viele der führenden Cyber-Bedrohungen ist die Überwachung der erhaltenen E-Mails. In diesem Schritt spielen die Mitarbeiter eine wesentliche Rolle: Sie müssen sich bewusst sein, wie gefährlich es ist, verdächtige E-Mails zu öffnen, auf Links in diesen E-Mails zu klicken und vor allem Anhänge von unbekannten Absendern herunterzuladen. Im Falle von BazarBackdoor sollten sich die Mitarbeiter vor E-Mails von sendgrid.net in Acht nehmen.

Eine weitere wesentliche Maßnahme ist die Nutzung einer fortgeschrittene Cyber-Sicherheitslösung. Um alle verdächtigen Aktivitäten zu kontrollieren, ist es unerlässlich, jede Systemaktivität überwachen zu können. Panda Adaptive Defense 360 überwacht alles, was auf Endpoints des Systems geschieht, und stoppt alle verdächtigen Aktivitäten. Darüber hinaus wird ein unbekannter Prozess vor Ausführung gestoppt, analysiert und kann nur ausgeführt werden, wenn er als legitim eingestuft wird.

Schützen Sie sich mit Panda Adaptive Defense 360 vor dieser Malware und jeder anderen fortschrittlichen Cyber-Bedrohung.