Palo Alto Networks entdeckt neue Ransomware "Mole"

Bösartige Spam-Kampagne steigert Komplexität und ändert stets die Taktik

München, (PresseBox) - Das Anti-Malware-Team von Palo Alto Networks meldet eine neue gefährliche bösartige Spam-Kampagne, die mit Links die Betroffenen auf gefälschte, online gestellte Microsoft-Word-Seiten umleitet. Auf diesen gefälschten Seiten wurden die Opfer aufgefordert, Microsoft Office-Plugins zu installieren, wobei es sich dabei um verkleidete Malware handelte. Diese Kampagne nutzt eine Ransomware namens „Mole“: Die Namen für alle damit verschlüsselten Dateien enden mit .MOLE. Die Ransomware scheint Teil der Familie CryptoMix zu sein, da sie viele Eigenschaften mit den Revenge- und CryptoShield-Varianten von CryptoMix teilt.

Das Besondere an dieser Malware-Kampagne ist, dass sie seit der Entdeckung schnell die Taktik änderte und die Komplexität erhöhte. Bereits zwei Tage nach der Enttarnung änderten die Kriminellen hinter diesen gefälschten Office-Plugins das Format und starteten zusätzliche Malware. Neben Mole-Ransomware würden sich die Opfer nun mit Kovter und Miuref infizieren. Am dann folgenden Tag stoppten die Angreifer die Nutzung eines Umleitungslinks in der bösartigen Spam-Mail und setzten stattdessen auf eine direkte Verknüpfung mit einer falschen Word-Online-Website.

Anfangs wurden auf der gefälschten Word-Online-Seite Google-Docs-Links verwendet, um Mole-Ransomware als Office-Plugin zu verkleiden. Die Cyberkriminelle, die hinter dieser Kampagne stecken, missbrauchten Google Docs, um einen Link für eine ausführbare Datei bereitzustellen. Die Dateinamen waren plug-in.exe oder plugin.exe. Nach dem Herunterladen der ausführbaren Datei führte das Opfer die Ransomware aus und infizierte so seinen Windows-PC.

Dann wechselte die Kampagne erneut die Taktik. Die gefälschten Microsoft Word Online-Sites nutzten keine Google-Docs-URL mehr, um ihre Malware bereitzustellen. Stattdessen wurde die Malware als Zip-Archiv direkt aus der kompromittierten Website gesendet, die als gefälschte Microsoft-Word-Online-Seite verwendet wurde. Die Zip-Archive enthielten JavaScript-Dateien (.js), die entworfen wurden, um Windows-Computer mit Mole-Ransomware und zusätzlicher Malware zu infizieren.

Die meisten großflächigen bösartigen Spam-Kampagnen neigen dazu, bei Operationsmustern zu bleiben, die für Malware-Forscher viel einfacher zu identifizieren und zu verfolgen sind. Diese Kampagne hat sich schneller entwickelt, als es normalerweise zu beobachten ist. Eine solche Veränderungstaktik ist wahrscheinlich ein Weg, um eine Erkennung zu vermeiden. Und diese Kampagne entwickelt sich weiter. Am 18. April begannen die Akteure den Banking-Trojaner KINS mittels Kovter und Miuref zu verbreiten. Am 21. April 2017 wechselte zudem die Thematik der Spam-Mails.

Ransomware-Familien verändern sich ständig. CryptoMix-Varianten wie Mole bleiben selten für mehr als ein paar Wochen erhalten, bevor sie neu verpackt und als neue Variante verteilt werden. Die Samples von Mole, die Palo Alto Networks identifiziert hat, sind AutoFocus von Palo Alto Networks mit dem Tag MoleRansomware markiert.

Palo Alto Networks wird diese Aktivität weiterhin auf die anwendbaren Indikatoren hin untersuchen, um die Community zu informieren und seine Threat-Prevention-Plattform weiter zu verbessern.

Palo Alto Networks GmbH

Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet. Weitere Informationen finden Sie unter www.paloaltonetworks.com.

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.