Jena – ESET-Forscher haben eine Reihe von Cyberangriffen entdeckt, die es seit 2016 auf Finanzabteilungen in Unternehmen abgesehen hat. Die Kriminellen setzen dabei auf E-Mails mit Links, die zu schadhaften Dateien führen. Der Inhalt, die Verlinkungen und auch der Dateien in diesen Nachrichten behandeln das Thema Steuern und sollen die Empfänger zu einem unbedachten Klick verleiten.
Die beiden eingesetzten Schadprogramme, eine Backdoor und ein Remote Access Trojaner (kurz: RAT), haben die Experten BalkanDoor und BalkanRAT getauft. Die Cyberkriminellen haben insbesondere in den Balkanstaaten ansässige Unternehmen im Visier.
«Ein typisches Opfer dieser Attacke hat am Ende beide Schadprogramme auf seinem Computer installiert, von denen jedes in der Lage ist, die betroffene Maschine vollständig zu kontrollieren», sagt Zuzana Hromcová, die ESET-Forscherin, die die Untersuchung leitet. «BalkanRAT ermöglicht den Angreifern, den manipulierten Computer manuell über eine grafische Oberfläche fernzusteuern. Über BalkanDoor können die Kriminellen den infizierten Rechner über eine Befehlszeile aus der Ferne bedienen, möglicherweise sogar massenhaft.»
Ungewöhnliches Konzept ist finanziell motiviert
Dieses eher ungewöhnliche Alternativkonzept bietet den Angreifern die Möglichkeit, die bestgeeignete Methode zur Kontrolle der infizierten Computer zu wählen. Die ESET Forscher vermuten eine finanzielle Motivation bei Betreibern dieser Kampagne. ESET-Sicherheitslösungen erkennen diese Bedrohungen als Win{32,64}/BalkanRAT und Win32/BalkanDoor. (ESET/mc)
Weitere Informationen haben die ESET-Forscher auf WeLiveSecurity bereitgestellt.