Betrüger phishen mit alten E-Mailnachrichten

In den vergangenen zwei Wochen hat das Nationale Zentrum für Cybersicherheit (NCSC) mehrere Meldungen zu bösartigen E-Mails erhalten. Diese verwenden Texte aus früheren Nachrichten, um die Wahrscheinlichkeit zu erhöhen, dass potenzielle Opfer einen in der E-Mail angehängten Link anklickt und so eine Schadsoftware herunterladen. In diesem Fall handelt es sich um Darkgate.

Wie das NCSC mitteilt, ist diese, auch als Dynamite Phishing bekannte, Vorgehensweise nicht neu. Schon 2019 verbreiteten Cyberkriminelle die Malware Emotet mit der gleichen Methode. Dafür durchsuchte die Schadsoftware die Outlook-Dateien eines Opfers, um auf alte E-Mails zuzugreifen. Anfang 2021 konnten Strafverfolgungsbehörden die Malware "Emotet" zumindest vorübergehen lahmlegen.

Gleich daraufhin sprang Qakbot auf den Zug mit den alten E-Mailnachrichten auf, wie die Behörde schreibt. Bei dieser Malware installierten die Autoren bereits im Sommer 2020 ein "Email Collector Module". Dieses extrahierte E-Mails aus dem Microsoft-Outlook-Client der Opfer und lud sie auf einen Remote-Server für den weiteren Gebrauch hoch. Im August 2023 schalteten die Strafverfolgungsbehörden in den USA und Europa Qakbot aus. Die Hintermänner wurden allerdings nicht gefasst.

Seit 2017 aktiv, aber erst seit Kurzem populär

Im Falle von Darkgate enthält die betrügerische E-Mail ein PDF-Dokument mit einem Link auf die Schadsoftware. Die Malware ist laut NCSC bereits seit 2017 aktiv, stiess aber erst auf grosses Interesse gestossen, nachdem der Entwickler mit neuen Funktionen des Programmes geprahlt hatte. Diese sollen weit über die Funktionen eines eigentlichen Downloaders hinausgehen. So enthalte die Malware auch einen versteckten Fernzugriff, einen Reverse Proxy, einen Diskord Token Stealer und könne zudem den Browserverlauf stehlen.

Das NCSC geht davon aus, dass kriminelle Gruppen, die zuvor mit Qakbot arbeiteten, jetzt auf Darkgate umsteigen. Bei den aktuellen Phishing-Versuchen verwendeten die Kriminellen häufig alte E-Mailverläufe, die mehrere Jahre zurückliegen. Die Behörde geht daher nicht davon aus, dass die Schadsoftware aktive E-Mailverläufe abgreift, sondern alte, bereits vor einigen Jahren gestohlene, E-Mails aus Datenbanken verwendet. 

Darkgate wird auch über andere Kommunikationsmittel wie Skype- und Microsoft-Teams-Konten verbreitet, wie das NCSC mit Verweis auf Trendmicro schreibt. Wie im Falle der E-Mails gaukeln Kriminelle dem Opfer vor, schon zuvor in Verbindung gestanden zu haben. Zudem enthält die zugesandte Nachricht ein bösartiges VB-Skript (Visual Basic Script), das als PDF-Datei getarnt ist. Dieses versuche dann die Schadsoftware herunterzuladen und zu installieren.

Tipps und Tricks gegen Schadsoftware

Um eine Infektion mit Schadsoftware zu verhindern, rät das NCSC folgendes zu beachten:

• Bösartige E-Mails können auch von bekannten Absendern kommen.
• Seien Sie vorsichtig, wenn plötzlich zusammenhangslos eine bereits getätigte Kommunikation wieder aufgenommen wird.
• Seien Sie vorsichtig beim Öffnen von E-Mail-Anhängen, auch wenn solche von einer vermeintlich vertrauenswürdigen Quelle stammen.

Apropos Phishing: Cloudflare hat seinen Phishing Report für 2023 vorgelegt. Gemäss der Analyse geraten zunehmend KMUs und der öffentliche Sektor unter Attacke. Mehr dazu finden Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.