Phishing-Angriffe: Nigerianische Scammer rüsten auf

Sie sind bekannt für ihre immer ähnlichen Phishing-E-Mails: die 419-Scammer aus Nigeria. Jetzt rüsten sie auf und verbreiten Fernwartungssoftware, statt nur um Geld zu betteln.

Artikel veröffentlicht am ,
Nigerianische Scammer rüsten ihre Angriffsmethoden auf.
Nigerianische Scammer rüsten ihre Angriffsmethoden auf. (Bild: Palo Alto Networks)

Mit einfachen Bettel-E-Mails lässt sich offenbar kein Geld mehr verdienen. Die sogenannten 419-Scammer aus Nigeria verwenden deshalb eine neuen Masche. Sie versuchen, die Rechner ihrer Opfer mit Fernwartungssoftware zu infizieren. Sehr ausgereift ist der Angriff bislang noch nicht. Experten warnen jedoch vor eine zunehmenden Bedrohung, die nunmehr nicht nur aus Osteuropa komme. Bislang richten sich die Angriffe auf Nutzer in Taiwan und Südkorea.

Stellenmarkt
  1. Software Project Engineer (m/w/d)
    Vanderlande Industries GmbH & Co. KG, Siegen
  2. Teamleiter Data Center (m/w/d)
    prego services GmbH, Saarbrücken, Ludwigshafen
Detailsuche

Offenbar sind die Kriminellen in Nigeria noch nicht besonders mit den Werkzeugen vertraut, die sie gegen ihre Opfer einsetzen. Zumindest kommen die Experten des Sicherheitsunternehmens Palo Alto Networks zu diesem Schluss, die den Wandel der 419-Scammer in den vergangenen Jahren untersucht haben. Der Name stammt vom Paragraphen 419 des nigerianischen Gesetzbuchs, das Scamming unter Strafe stellt.

Gute Manipulatoren, kaum Ahnung von Technik

Der Angriff wird bei Palo Alto Networks als Silver-Spaniel-Attacke geführt. Die Experten dort bezeichnen die neu entstehende 419-Gruppe als ausgezeichnete Manipulatoren (Social Engineers). Sie hätten aber kaum Ahnung von der Technik, die sie anwendeten. Aktuell werde bevorzugt das Fernwartungswerkzeug (Remote Administration Tool, RAT) namens Netwire von World Wide Labs verwendet. Die kommerzielle Verwaltungssoftware gibt es für wenig Geld in einschlägigen Foren. Selbst offizielle Lizenzen kosten nicht besonders viel.

Um die Software für die meisten Antivirenprodukte unsichtbar zu machen, wird die Verschleierungssoftware Datascrambler verwendet. Dann wird sie in ZIP- oder RAR-Dateien verpackt und an E-Mails angehängt. Welche Opfer die Scammer sich aussuchen, konnten die Forscher noch nicht ermitteln. Gegenwärtig werden die mit Anhängen präparierten E-Mails in erster Linie an Unternehmen in Taiwan und Südkorea verschickt. Bislang hätten keine Angriffe über soziale Netzwerke oder Sicherheitslücken festgestellt werden können, schrieb der Chef der Palo-Alto-Networks-Sicherheitsabteilung Rick Howard an Golem.de.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    15.–17. März 2022, Virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Die Fernwartungssoftware wurde von den Scammern mit DDNS-Adressen konfiguriert, die meist bei Noip.com registriert wurden. Außerdem nutzen die Scammer die VPN-Dienste von Nvpn.net, um ihre wahre IP-Adresse zu verschleiern. Meist nutzen sie den Netwire-Standardport 3360 für Fernwartungswerkzeuge. Es gebe aber auch Konfigurationen, bei denen der Standardport anders gesetzt wurde.

In einem Fall hatte der Angreifer jedoch die Software von Noip verwendet, die automatisch eine neue IP-Adresse mit der DDNS verknüpft. Daraufhin konnten die Sicherheitsforscher feststellen, dass der Angreifer einen Internet Service Provider in Nigeria verwendet, der weite Teile des afrikanischen Landes abdeckt. Die Sicherheitsforscher fanden auch heraus, dass die meisten Zugriffe über eine mobile Internetverbindung erfolgt sind. Das belegen die zahlreichen unterschiedlichen ISPs, über die sich der Angreifer eingewählt hat.

Verbesserungen nicht ausgeschlossen

Offenbar haben sich die Angreifer auf den Diebstahl von Passwörtern oder das Abgreifen kompromittierender Informationen spezialisiert, fanden die Forscher heraus. Bislang konnten sie nicht beobachten, dass weitere Schadsoftware eingeschleust oder der Zugang für Angriffe auf weitere Rechner in den Unternehmen genutzt wurde. Allerdings können sie solche Angriffe aber weder aktuell noch in der Zukunft ausschließen.

Bereits im November 2013 hatte der Antivirensoftwarehersteller Trend Micro beobachtet, dass die Zeus-Abwandlung Ice IX aus Nigeria verteilt wurde. Darüber wurden vor allem Zugangsdaten für das Onlinebanking abgefischt. Die jüngst beobachteten Silver-Spaniel-Angriffe würden den Trend bestätigen, das Angriffe aus Nigeria immer ausgereifter werden, schreiben die Experten bei Palo Alto Networks. Sie bieten auch ein Tool an, dass Infektionen mit Datascrambler und Netwire aufspüren soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


plutoniumsulfat 24. Jul 2014

Wenn es überhaupt zu einer Verurteilung kommt, dann wird das wohl gering ausfallen. Klar...

Grevier 23. Jul 2014

Ich habe mal von einem interessanten Konzept gehört... Darin geht es darum, dass man wenn...

Zeitvertreib 23. Jul 2014

Darauf hätte ich aber auch mal verlinken können :) Danke dir! Grüße



Aktuell auf der Startseite von Golem.de
Rocket 1
3D-Druck vom Kopf auf die Füße gestellt

Eine der interessantesten Crowdfunding-Kampagnen für 3D-Drucker seit Jahren lässt einige wichtige Fragen offen.
Von Elias Dinter

Rocket 1: 3D-Druck vom Kopf auf die Füße gestellt
Artikel
  1. Tesla Gigafactory Berlin: Brandenburgs Regierung sieht Wasserversorgung gesichert
    Tesla Gigafactory Berlin
    Brandenburgs Regierung sieht Wasserversorgung gesichert

    Der Wasserverband sieht die Trinkwassermenge durch die geplante Tesla-Fabrik in Gefahr, die Landesregierung sieht das anders.

  2. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  3. Hohe Lichtstärke: Nikon stellt 400-mm-Objektiv mit f2,8 vor
    Hohe Lichtstärke
    Nikon stellt 400-mm-Objektiv mit f2,8 vor

    Nikon bringt mit dem Nikkor Z 400 mm 1:2,8 TC VR S ein besonders lichtstarkes Teleobjektiv mit integriertem Telekonverter auf den Markt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • Roccat Gaming-Tastatur 105€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate Deals (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /