Anzeige
Nigerianische Scammer rüsten ihre Angriffsmethoden auf.
Nigerianische Scammer rüsten ihre Angriffsmethoden auf. (Bild: Palo Alto Networks)

Phishing-Angriffe: Nigerianische Scammer rüsten auf

Sie sind bekannt für ihre immer ähnlichen Phishing-E-Mails: die 419-Scammer aus Nigeria. Jetzt rüsten sie auf und verbreiten Fernwartungssoftware, statt nur um Geld zu betteln.

Anzeige

Mit einfachen Bettel-E-Mails lässt sich offenbar kein Geld mehr verdienen. Die sogenannten 419-Scammer aus Nigeria verwenden deshalb eine neuen Masche. Sie versuchen, die Rechner ihrer Opfer mit Fernwartungssoftware zu infizieren. Sehr ausgereift ist der Angriff bislang noch nicht. Experten warnen jedoch vor eine zunehmenden Bedrohung, die nunmehr nicht nur aus Osteuropa komme. Bislang richten sich die Angriffe auf Nutzer in Taiwan und Südkorea.

Offenbar sind die Kriminellen in Nigeria noch nicht besonders mit den Werkzeugen vertraut, die sie gegen ihre Opfer einsetzen. Zumindest kommen die Experten des Sicherheitsunternehmens Palo Alto Networks zu diesem Schluss, die den Wandel der 419-Scammer in den vergangenen Jahren untersucht haben. Der Name stammt vom Paragraphen 419 des nigerianischen Gesetzbuchs, das Scamming unter Strafe stellt.

Gute Manipulatoren, kaum Ahnung von Technik

Der Angriff wird bei Palo Alto Networks als Silver-Spaniel-Attacke geführt. Die Experten dort bezeichnen die neu entstehende 419-Gruppe als ausgezeichnete Manipulatoren (Social Engineers). Sie hätten aber kaum Ahnung von der Technik, die sie anwendeten. Aktuell werde bevorzugt das Fernwartungswerkzeug (Remote Administration Tool, RAT) namens Netwire von World Wide Labs verwendet. Die kommerzielle Verwaltungssoftware gibt es für wenig Geld in einschlägigen Foren. Selbst offizielle Lizenzen kosten nicht besonders viel.

Um die Software für die meisten Antivirenprodukte unsichtbar zu machen, wird die Verschleierungssoftware Datascrambler verwendet. Dann wird sie in ZIP- oder RAR-Dateien verpackt und an E-Mails angehängt. Welche Opfer die Scammer sich aussuchen, konnten die Forscher noch nicht ermitteln. Gegenwärtig werden die mit Anhängen präparierten E-Mails in erster Linie an Unternehmen in Taiwan und Südkorea verschickt. Bislang hätten keine Angriffe über soziale Netzwerke oder Sicherheitslücken festgestellt werden können, schrieb der Chef der Palo-Alto-Networks-Sicherheitsabteilung Rick Howard an Golem.de.

Die Fernwartungssoftware wurde von den Scammern mit DDNS-Adressen konfiguriert, die meist bei Noip.com registriert wurden. Außerdem nutzen die Scammer die VPN-Dienste von Nvpn.net, um ihre wahre IP-Adresse zu verschleiern. Meist nutzen sie den Netwire-Standardport 3360 für Fernwartungswerkzeuge. Es gebe aber auch Konfigurationen, bei denen der Standardport anders gesetzt wurde.

In einem Fall hatte der Angreifer jedoch die Software von Noip verwendet, die automatisch eine neue IP-Adresse mit der DDNS verknüpft. Daraufhin konnten die Sicherheitsforscher feststellen, dass der Angreifer einen Internet Service Provider in Nigeria verwendet, der weite Teile des afrikanischen Landes abdeckt. Die Sicherheitsforscher fanden auch heraus, dass die meisten Zugriffe über eine mobile Internetverbindung erfolgt sind. Das belegen die zahlreichen unterschiedlichen ISPs, über die sich der Angreifer eingewählt hat.

Verbesserungen nicht ausgeschlossen

Offenbar haben sich die Angreifer auf den Diebstahl von Passwörtern oder das Abgreifen kompromittierender Informationen spezialisiert, fanden die Forscher heraus. Bislang konnten sie nicht beobachten, dass weitere Schadsoftware eingeschleust oder der Zugang für Angriffe auf weitere Rechner in den Unternehmen genutzt wurde. Allerdings können sie solche Angriffe aber weder aktuell noch in der Zukunft ausschließen.

Bereits im November 2013 hatte der Antivirensoftwarehersteller Trend Micro beobachtet, dass die Zeus-Abwandlung Ice IX aus Nigeria verteilt wurde. Darüber wurden vor allem Zugangsdaten für das Onlinebanking abgefischt. Die jüngst beobachteten Silver-Spaniel-Angriffe würden den Trend bestätigen, das Angriffe aus Nigeria immer ausgereifter werden, schreiben die Experten bei Palo Alto Networks. Sie bieten auch ein Tool an, dass Infektionen mit Datascrambler und Netwire aufspüren soll.


eye home zur Startseite
plutoniumsulfat 24. Jul 2014

Wenn es überhaupt zu einer Verurteilung kommt, dann wird das wohl gering ausfallen. Klar...

Grevier 23. Jul 2014

Ich habe mal von einem interessanten Konzept gehört... Darin geht es darum, dass man wenn...

Zeitvertreib 23. Jul 2014

Darauf hätte ich aber auch mal verlinken können :) Danke dir! Grüße

Kommentieren



Anzeige

  1. IT-Architekt (m/w) Security-Lösungen
    Zurich Gruppe Deutschland, Köln
  2. Softwareentwickler (m/w) (JavaEE)
    XClinical GmbH, München
  3. Komponentenverantwortliche/r für Windowsserver
    Landeshauptstadt München, München
  4. Requirements Engineer (m/w) - Netzwerkinfrastruktur, IT-Security & Verbindungsmanagement
    Bosch Software Innovations GmbH, Waiblingen, Berlin

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Kupferkabel

    M-net setzt im Kupfernetz schnelles G.fast ein

  2. Facebook

    EuGH könnte Datentransfer in die USA endgültig stoppen

  3. Prozessoren

    Intel soll in Deutschland Abbau von 350 Stellen planen

  4. CCIX

    Ein Interconnect für alle

  5. Service

    Telekom-Chef kündigt Techniker-Termine am Samstag an

  6. Ausstieg

    Massenentlassungen in Microsofts Smartphone-Sparte

  7. Verbot von Geoblocking

    Brüssel will europäischen Online-Handel ankurbeln

  8. Konkurrenz zu DJI

    Xiaomi mit Kampfpreis für Mi-Drohne

  9. Security-Studie

    Mit Schokolade zum Passwort

  10. Lenovo

    Moto G4 kann doch mit mehr Speicher bestellt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  2. Inductrack Hyperloop schwebt ohne Strom
  3. Hyperloop Die Slowakei will den Rohrpostzug

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

  1. Re: Plex Server?

    486dx4-160 | 22:30

  2. Re: Nach wie vor an der Realität vorbei

    spezi | 22:27

  3. Re: Da kann ich auch ein Cat7 Kabel über 100...

    Mett | 22:24

  4. Re: Nur 150dpi

    Schläfer | 22:21

  5. Re: Mit sträuben sich die Haare

    CrookedHillary | 22:19


  1. 18:48

  2. 17:49

  3. 17:32

  4. 16:54

  5. 16:41

  6. 15:47

  7. 15:45

  8. 15:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel