Die Opfer erhalten dabei ein angebliches Update zum Versandstatus einer DHL-Sendung. Im Anhang befindet sich ein Word- oder Excel-Dokument, das mit einer von zwei Varianten der Buer-Malware infiziert ist. Die erste Variante ist in der Programmiersprache C, die zweite in Rust. Interessant dabei ist, dass das Dokument, das RustyBuer enthält, mit deutlich mehr gefälschten Details aufwartet als die Variante in C. Enthalten ist die Malware in einem Makro, das einen Application Bypass nutzt, um der Entdeckung durch Antivirensoftware zu entgehen.
Zwei mögliche Gründe, warum die Hintermänner sich die Mühe gemacht haben eine Rust-Version des Buer Loaders zu schreiben, geben die Sicherheitsforscher von Proofpoint an: Zum einen handelt es sich bei Rust um eine Programmiersprache, die sich zunehmender Beliebtheit erfreut und über wesentlich mehr Möglichkeiten verfügt als C. Das könnte sich in Zukunft als nützlich erweisen. Der zweite Grund hat damit zu tun, dass die Buer-Malware bereits seit mindestens Mitte 2019 im Umlauf ist und bereits in vielen Fällen zum Einsatz kam. Das bedeutet, dass die Malware und ihre Eigenarten unter Sicherheitsexperten bekannt ist und daher auch schneller aufgespürt werden kann. Diese Erfahrungswerte könnten für eine neue Version der Malware in einer anderen Programmiersprache hinfällig sein, auch wenn die üblichen Sicherheitsvorkehrungen, wie das Deaktivieren von Makros und das Surfen ohne Admin-Rechte, weiterhin bereits einen guten Schutz vor einer Infektion bieten.
Es ist nicht das erste und vermutlich auch nicht das letzte Mal, dass Kriminelle gefälschte DHL-Benachrichtigungen nutzen, um Malware in Umlauf zu bringen. Mit schöner Regelmäßigkeit erreichen uns Meldungen über Phishing-Kampagnen, die auf genau diese Masche setzen. Nun ist es also wieder einmal passiert, bezeichnenderweise kurz nachdem weltweit Millionen von Kunden am Amazon Prime Day auf Schnäppchenjagd gegangen sind und nun auf ihre Pakete warten. Bereits im vergangenen Jahr lief kurz vor Weihnachten eine Kampagne zum gleichen Thema, als sich ein Großteil der Weihnachtseinkäufe pandemiebedingt ins Internet verlagerte. Wir sehen also, dass es durchaus Zeiten gibt, in denen man sich besonders auf derartige Betrugsversuche gefasst machen sollte.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
