Phishing-Kampagne in deutscher Automobilbranche

Deutsche Autos sind allen Skandalen der letzten Jahre zum Trotz immer noch weltweit beliebt. Hinzu kommen die steigenden Preise für Gebrauchtwagen, seit sich auch in der Automobilbranche stockende Lieferketten und knappe Rohstoffe bei den Lieferzeiten für Neuwagen bemerkbar machen. Daher ist es nicht verwunderlich, dass gerade dieser Sektor der deutschen Wirtschaft nun in den Fokus von Hackern geraten ist, wie Sicherheitsforscher von Check Point berichten. Ziel der Angriffe, die dem Bericht nach seit Juli 2021 laufen, ist es, die Systeme der Opfer mit einer Malware zu infizieren, die Passwörter stiehlt. Betroffen sind den Erkenntnissen der Sicherheitsforscher zufolge sowohl Autohersteller und -zulieferer als auch Autohäuser.

Für ihre Phishing-Kampagne haben die Kriminellen verschiedene Webseiten von echten Unternehmen nachgebaut, über die sie ihre Phishing-E-Mails verschicken. Zusätzlich wird dort die Malware-Payload gehostet, die von den Opfern unwissentlich heruntergeladen werden soll. Zu Beginn des Angriffs erhält das Opfer eine E-Mail mit einer ISO-Disk-Image-Datei, die das Speicherabbild des Dateisystems einer CD oder DVD enthält, in einem bestimmten Format strukturiert ist und wiederum eine .HTA-Datei beinhaltet, die die Ausführung von JavaScript- oder VBScript-Code über HTML-Schmuggel ermöglicht.

Als Beispiel zeigen die Sicherheitsforscher eine E-Mail, die vorgibt, einen unterschriebenen Vertrag für eine Autoübergabe zu enthalten. Gleichzeitig wird darum gebeten, den Erhalt zu bestätigen und weitere Unterlagen wie Fahrzeugpapiere und TÜV für das genannte Auto zu übersenden. Öffnet man den Anhang, wird im Hintergrund eine weitere Datei geöffnet, die die Drop-Site kontaktiert, über die dann die Malware eingeschmuggelt wird. Das Opfer selbst sieht dabei nur ein Dokument, das scheinbar genau das ist, was es sein soll, also im Beispiel ein Kaufvertrag über ein Auto. Laut Check Point wurden bei der genaueren Untersuchung der neuen Vorgehensweise mehrere Versionen dieser Skripte gefunden, die unterschiedliche Aktionen ausführen. Manche lösen PowerShell-Code aus, manche sind gut verborgen und andere wiederum im Klartext sichtbar. Alle laden verschiedene Malware und Spyware herunter, die zumeist als Malware as a Service im Darknet verfügbar sind, darunter Raccoon Stealer, AZORult und BitRAT. In einer späteren Version der Kampagne beobachteten die Sicherheitsforscher außerdem, dass ein PowerShell-Code ausgeführt wird, bei dem das Opfer nicht mehr dazu gebracht werden muss, Makros zu aktivieren, da die Malware die entsprechenden Änderungen in Microsoft Office selbst vornimmt.

Laut Check Point sind mindestens 14 Opfer der Kampagne in Deutschland bekannt, die alle in Verbindung zur Automobilbranche stehen. Konkrete Namen werden jedoch nicht genannt. Auch wer hinter den Angriffen steckt, lässt sich noch nicht mit völliger Sicherheit sagen, doch es besteht zumindest ein Anfangsverdacht, dass es sich um eine Hackergruppe aus dem Iran handelt. So wurden die Payloads der Malware auf einer Webseite gehostet, die von einer Persona aus dem Iran registriert wurde. Hinzu kommen wahrscheinliche Verbindungen zu einer anderen Phishing-Kampagne, die auf Kunden der Santander Bank abzielte und bei einem iranischen Internet Service Provider gehostet wurde. Das legt den Schluss nahe, dass es sich um eine Hackergruppe aus dem Iran handelt, ein endgültiger Beweis dieser Schlussfolgerung steht allerdings noch aus. Auch zu den Zielen der Angreifer lässt sich noch keine abschließende Äußerung abgeben. Wahrscheinlich handelt es sich sowohl um Industriespionage als auch um einen Fall von Business E-Mail Compromise (BEC) oder CEO Fraud. Das ist eine Betrugsmasche, bei der die Angreifer sich als Vorgesetzter ausgeben und so die Opfer dazu bringen, Gelder schnell und ohne Kontrolle zu überweisen. Dafür spricht auch, dass die bisher verschickten E-Mails Raum für weitere Kontaktaufnahmen lassen, was dem falschen CEO bei einer solchen Masche zusätzliche Glaubwürdigkeit verleiht.
Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel