Sophos-Untersuchung
Maßgeschneiderte Malware für den deutschen Markt
Cyberkriminelle passen ihre Schadprogramme und deren Verbreitung immer häufiger an, um sie individuell auf die Zielgruppe zuzuschneiden. Wie professionell sie vorgehen, zeigt eine Untersuchung von Sophos: Zum Einsatz kommen regionale Marken und sogar professionelle Übersetzer.
Schon lange nutzen Cyberkriminelle angepasste Kampagnen, um ihre Malware zu verbreiten. Um deutsche Nutzer mit Malware zu infizieren, werden beispielsweise gerne deutschsprachige Mails genutzt. Allerdings hat sich die Branche stark professionalisiert: Mails, die vorgeben von seriösen Absendern zu stammen und durch auffällige Rechtschreib- und Grammatikfehler sowie ungewöhnliche Zeichensetzung leicht als Fälschung zu erkennen sind, werden immer seltener. » In zunehmendem Maße nehmen Cyberkriminelle sogar die Dienste professioneller Übersetzer in der Zielregion in Anspruch, um ihre E-Mail-Fallen so echt wie möglich aussehen zu lassen«, berichtet Chester Wisniewski von Sophos . Der Security-Hersteller hat die zwischen Januar und April von mehreren Millionen Endpoints gesammelten Informationen ausgewertet und festgestellt, dass Angreifer verstärkt auf korrekte Sprache, lokale Zahlmethoden und landestypische Marken achten. Auch Cyberkriminelle würden unter Druck stehen, sich in einem umkämpften Markt zu behaupten, und daher professionalisieren, so das Fazit.
Damit sie regional zugeschnittene Schadprogramme verteilen können, würden die Angreifer zunächst prüfen, aus welchem Land die IP-Adressen ihre Ziel-Computer stammen und in welcher Sprache die Windows-Einstellungen vorgenommen wurden, hat man bei Sophos festgestellt. Für die Verbreitung der Malware kommen dann sehr authentisch aussehende Mails mit Logos bekannter Marken zum Einsatz. Die Betrüger würden beispielsweise sehr professionell die Benachrichtigungen lokaler Postgesellschaften, Steuer- und Strafverfolgungsbehörden oder Versorgungsunternehmen imitieren und verseuchte Lieferscheine, Rückerstattungen, Strafzettel oder Stromrechnungen verschicken. Auch der Versand von Malware in seriös aussehenden Bewerbungsschreiben nimmt den Sicherheitsexperten zufolge zu.
Die eingesetzten Schadprogramme sind indes keine Unbekannten: Es handelt sich um angepasste Versionen existierender Malware. In Deutschland kommt demnach bei Ransomware oft eine lokalisierte Ausgabe von Cryptowall zum Einsatz. Bei den Trojanern attackiert Trustezeb laut Sophos vor allem die DACH-Region – der Schädling spreche ausdrücklich Deutsch. Dridex und Zbot seien zwar weltweit verbreitet, würden aber vornehmlich in bestimmten Ländern eingesetzt, darunter auch Deutschland.
Lesen Sie mehr zum Thema
