IT-Sicherheitsexperten warnen vor neuer Schadsoftware Shathak

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: PSW GROUP
Veröffentlicht von Datakontext am 7. September 2021.

Eine Cyberattacke der besonderen Art sorgt für immer größeres Aufsehen: Die E-Mail-basierte Angriffskampagne TA551, besser bekannt als Shathak, breitet sich weltweit immer mehr aus – auch im deutschsprachigen Raum. „Bei Shathak handelt es sich um eine E-Mail-basierte Malware-Angriffskampagne, von der weltweit immer mehr Endanwender betroffen sind. Shathak ist enorm wandelbar, die gefälschten E-Mails wirken täuschend echt und sind so für die Betroffenen äußerst schwer zu erkennen. Da jeder Angriff anders verläuft und diese sehr gut getarnt sind, ist die Infektionsgefahr bei Betroffenen, die nicht über die Angriffskampagne informiert sind, als hoch einzuordnen“, warnt IT-Sicherheitsexpertin Patrycja Schrenk, Geschäftsführerin der PSW GROUP (www.psw-group.de).

Zentraler Bestandteil der Angriffe ist eine E-Mail als Köder, bei der eine E-Mail-Kette vorgetäuscht wird. Die Täter verwenden gestohlene SMTP-Anmeldeinformationen und stellen aus zuvor erbeuteten Inhalten täuschend echte E-Mails zusammen, sodass deren Empfänger von vertrauenswürdigen E-Mails ausgehen. Die gefälschten E-Mails enthalten dabei Betreffzeilen und Inhalte, die sich auf die vorherige E-Mail-Kommunikation beziehen – zum Beispiel werden die Betreffzeile sowie interne Informationen aus dem Unternehmen individuell auf das jeweilige Opfer angepasst. „Die E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. In der E-Mail befindet sich ein passwortgeschützter Zip-Anhang, der ein malwareverseuchtes Dokument enthält, beispielsweise eine Microsoft-Office-Datei“, so Schrenk und erklärt, wie die Schadsoftware auf den Computer seines Opfers gelangt: „Der Benutzer wird im Text der E-Mail über das Passwort für den Zip-Anhang informiert. Öffnet er das Dokument, das in Form von Makros mit Malware infiziert ist, wird das System des Opfers mit der Malware infiziert.“ Bisher hat Shathak verschiedene Malware-Familien, wie zum Beispiel IcedID, Valak und Ursnif (Gozi/ISFB) verwendet.

Shathak, das zu Anfang vornehmlich auf englischsprachige Opfer abzielte, hat bereits Opfer in Deutschland, Italien und Japan gefunden. Auch die Verbreitungsmethode der Schadsoftware hat sich weiterentwickelt: Zu Anfang setzte die E-Mail-Angriffskampagne auf mehrere Malware-Familien. Vermehrt sind nun Fälle zu beobachten, in denen häufig IcedID als Schadsoftware eingesetzt wird. Dabei handelt es sich um einen sehr leistungsfähigen Trojaner, der ursprünglich auf die Erbeutung von Banking-Informationen eingesetzt wurde, sich aber nun vielseitig für andere Angriffe einsetzen lässt.

„Shathak ist besonders schwer erkennbar und wandelt sich sehr schnell, dadurch ist es sehr schwer, gefälschte E-Mails zu erkennen“, warnt Patrycja Schrenk und rät zur äußersten Vorsicht in der E-Mail-Kommunikation: „Eine gesunde Skepsis kann vor hohem Schaden und einer Infektion bewahren. Wer sich nicht sicher ist, ob eine E-Mail vertrauenswürdig ist, sollte sich nicht scheuen, beim Absender anzurufen, um sich über die Korrektheit der E-Mail vergewissern“, rät sie. Grundsätzlich gilt beim Umgang mit Shathak aber auch: Eine angemessene Spam-Filterung, ordnungsgemäße Systemadministration und aktuelle Windows-Hosts sorgen für ein deutlich geringeres Infektionsrisiko.

 

Kategorien E-Mail Service konfigurieren

  • Kriminalität mit IT-Bezug (Malware, Phishing, Identitätsdiebstahl, Cyber-Security)

Benutzergruppe

  • Alle Benutzer