Drei US-Unternehmen aus dem Versorgungssektor wurden von einer Spear-Phishing-Kampagne angegriffen, bei der eine neue Malware mit einem RAT-Modul (Remote Access Trojan) zum Einsatz kam, um Angreifern die Kontrolle über die infizierten Systeme zu ermöglichen.
Die neue Malware namens LookBack wurde von Forschern des Threat Insight-Teams von Proofpoint entdeckt, nachdem sie Phishing-Angriffe und deren schädliche Nutzdaten analysiert hatten.
In einem Blogbeitrag erklärten die Forscher, wie die Phishing-E-Mails ein US-amerikanisches Engineering Licensing Board darstellten, um als legitime E-Mails zu erscheinen:
„Die Phishing-E-Mails glichen anscheinend einem US-amerikanischen Engineering Licensing Board mit E-Mails, die aus einer scheinbar von Akteuren kontrollierten Domäne stammen, nceess (.) Com. Es wird angenommen, dass Nceess (.) Com eine Imitation einer Domain ist, die dem US-amerikanischen National Council of Examiners for Engineering and Surveying gehört. Die E-Mails enthalten einen schädlichen Microsoft Word-Anhang, in dem mithilfe von Makros Malware installiert und ausgeführt wird, die von Proofpoint-Forschern als "LookBack" bezeichnet wurde.
LookBack-Malware
Die Phishing-E-Mails, die die Versorger am 19. und 25. Juli erhalten hatten, wurden alle von ncess.com gesendet, das von den Angreifern kontrolliert wurde. Proofpoint stellte jedoch auch fest, dass sie sich mit betrügerischen Domains als mehrere andere US-amerikanische Ingenieur- und Elektrolizenzierungsstellen ausgaben. Da bei diesen jüngsten Spear-Phishing-Angriffen nur eine der Domänen verwendet wurde, besteht eine hohe Wahrscheinlichkeit, dass in Zukunft andere Kampagnen mit ähnlichen Taktiken gestartet werden.
Die von der Phishingkampagne entfernte Malware ist ein in C ++ entwickelter Remotezugriffstrojaner, mit dem die Angreifer nach einer Infektion die vollständige Kontrolle über die infizierten Computer erlangen können.
Laut Proofpoint würde der LookBack-Remotezugriff-Trojaner den Angreifern dabei helfen, Dienste aufzulisten, Prozess-, System- und Dateidaten anzuzeigen, Dateien zu löschen und Befehle auszuführen, Screenshots zu machen, die Maus zu bewegen und zu klicken. Er könnte sogar den Computer neu starten und sich selbst löschen ein infizierter Wirt.
Die LookBack-Malware enthielt auch mehrere Komponenten, darunter ein Befehls- und Steuerungs-Proxy-Tool namens GUP, einen Malware-Loader, ein Kommunikationsmodul und eine RAS-Trojanerkomponente.
Proofpoint wies auch darauf hin, dass der Spear-Phishing-Angriff auf US-Versorgungsunternehmen möglicherweise von staatlich geförderten Advanced Persistent Threat-Akteuren (APT) durchgeführt wurde, da Überschneidungen mit anderen historischen Kampagnen und verwendeten Makros auftraten.
Über piependen Computer
