Get2 und SDBbot durch neue Malware-Varianten bedroht

Mit gleich zwei neu entwickelten digitalen Schädlingen – Get2 und SDBbot – versuchen Cyberkriminelle derzeit die Anwender in Deutschland und anderen Ländern zu attackieren.

Wieder einmal ist es die Gruppe TA505 (Threat Actor 505), die die neue Malware-Varianten für großangelegte E-Mail-Angriffskampagnen nutzt. Dies haben jetzt die Forscher des Cybersecurity-Experten Proofpoint herausgefunden.

Bei Get2 handelt es sich um einen komplett neuen Downloader (also Schadsoftware, die mehr oder weniger beliebige andere Schadsoftware nachladen kann), der in C++ geschrieben ist. SDBbot wiederum, ebenfalls in C++ geschrieben, ist ein neuer RAT (Remote Access Trojan, Software, mit deren Hilfe die Kriminellen den Computer des Opfers fernsteuern können).

Über diese beiden Schadprogramme können die Kriminellen den Rechner beliebig überwachen und manipulieren, beispielsweise persönliche Daten abgreifen, mit Ransomware verschlüsseln, Dateien stehlen und vieles mehr.

Die Angreifer von TA505 versenden dabei E-Mails (siehe Screenshots anbei), die entweder direkt mit präparierten Office-Dokumenten im Anhang das Postfach ihrer Opfer erreichen oder aber versuchen, den Anwender zum Download dieser Dateien, beispielsweise über Dropbox, zu bewegen. Bei diesen Dokumenten kann es sich, nach aktuellem Kenntnisstand, sowohl um Word- als auch Excel-Dateien handeln. Der Schadcode ist hier als Makro eingebettet.

Und TA505 geht auch dabei wieder in großem Stil vor und verschickt hunderttausende von E-Mails an ahnungslose Anwender. Bei diesen Kampagnen adressieren die Cyberkriminellen Anwender in Deutschland, aber auch in anderen Ländern wie Georgien, Griechenland, Kanada, Litauen, Schweden, den USA und weiteren.

Auch an dieser Stelle kann man den Nutzern nur empfehlen, keine Dokumente unbekannter Herkunft zu öffnen. Denn erst durch diese Aktion können Get2 und SDBbot installiert werden und ihr kriminelles Werk verrichten. Wie so oft versuchen die Cybergangster die menschliche Neugier beziehungsweise die menschlichen Schwächen auszunutzen, um anschließend die Opfer zu bestehlen und zu erpressen.

Wenn man glaubt, dass das empfangene Dokument von einem bekannten Absender stammt, ist man zur Sicherheit immer gut beraten, diesen mittels einem anderem Kommunikationskanal zu kontaktieren, um sicherzustellen, dass mit diesem Dokument alles seine Richtigkeit hat. Ist dies nicht der Fall, einfach löschen!

TA505 Distributes New SDBbot Remote Access Trojan with Get2 Downloader | Proofpoint US

Editor’s note: Following publication of this blog, it came to our attention that AhnLab encountered what appears to be an earlier version of SDBbot, described in their recent Q3 ASEC Report as a “malicious SDB file.” AhnLab describes delivery of the malware in South Korean campaigns as a secondary payload to the FlawedAmmyy RAT.

Ähnliche Beiträge