Contact
QR code for the current URL

Story Box-ID: 1112960

8com GmbH & Co. KG Europastraße 32 67433 Neustadt an der Weinstraße, Germany http://www.8com.de
Contact Ms Felicitas Kraus +49 30 3030808914
Company logo of 8com GmbH & Co. KG

Phishing-Kampagne in deutscher Automobilbranche

Deutsche Autos sind allen Skandalen der letzten Jahre zum Trotz immer noch weltweit beliebt. Hinzu kommen die steigenden Preise für Gebrauchtwagen, seit sich auch in der Automobilbranche stockende Lieferketten und knappe Rohstoffe bei den Lieferzeite

(PresseBox) (Neustadt an der Weinstraße, )
Deutsche Autos sind allen Skandalen der letzten Jahre zum Trotz immer noch weltweit beliebt. Hinzu kommen die steigenden Preise für Gebrauchtwagen, seit sich auch in der Automobilbranche stockende Lieferketten und knappe Rohstoffe bei den Lieferzeiten für Neuwagen bemerkbar machen. Daher ist es nicht verwunderlich, dass gerade dieser Sektor der deutschen Wirtschaft nun in den Fokus von Hackern geraten ist, wie Sicherheitsforscher von Check Point berichten. Ziel der Angriffe, die dem Bericht nach seit Juli 2021 laufen, ist es, die Systeme der Opfer mit einer Malware zu infizieren, die Passwörter stiehlt. Betroffen sind den Erkenntnissen der Sicherheitsforscher zufolge sowohl Autohersteller und -zulieferer als auch Autohäuser.

Für ihre Phishing-Kampagne haben die Kriminellen verschiedene Webseiten von echten Unternehmen nachgebaut, über die sie ihre Phishing-E-Mails verschicken. Zusätzlich wird dort die Malware-Payload gehostet, die von den Opfern unwissentlich heruntergeladen werden soll. Zu Beginn des Angriffs erhält das Opfer eine E-Mail mit einer ISO-Disk-Image-Datei, die das Speicherabbild des Dateisystems einer CD oder DVD enthält, in einem bestimmten Format strukturiert ist und wiederum eine .HTA-Datei beinhaltet, die die Ausführung von JavaScript- oder VBScript-Code über HTML-Schmuggel ermöglicht.

Als Beispiel zeigen die Sicherheitsforscher eine E-Mail, die vorgibt, einen unterschriebenen Vertrag für eine Autoübergabe zu enthalten. Gleichzeitig wird darum gebeten, den Erhalt zu bestätigen und weitere Unterlagen wie Fahrzeugpapiere und TÜV für das genannte Auto zu übersenden. Öffnet man den Anhang, wird im Hintergrund eine weitere Datei geöffnet, die die Drop-Site kontaktiert, über die dann die Malware eingeschmuggelt wird. Das Opfer selbst sieht dabei nur ein Dokument, das scheinbar genau das ist, was es sein soll, also im Beispiel ein Kaufvertrag über ein Auto. Laut Check Point wurden bei der genaueren Untersuchung der neuen Vorgehensweise mehrere Versionen dieser Skripte gefunden, die unterschiedliche Aktionen ausführen. Manche lösen PowerShell-Code aus, manche sind gut verborgen und andere wiederum im Klartext sichtbar. Alle laden verschiedene Malware und Spyware herunter, die zumeist als Malware as a Service im Darknet verfügbar sind, darunter Raccoon Stealer, AZORult und BitRAT. In einer späteren Version der Kampagne beobachteten die Sicherheitsforscher außerdem, dass ein PowerShell-Code ausgeführt wird, bei dem das Opfer nicht mehr dazu gebracht werden muss, Makros zu aktivieren, da die Malware die entsprechenden Änderungen in Microsoft Office selbst vornimmt.

Laut Check Point sind mindestens 14 Opfer der Kampagne in Deutschland bekannt, die alle in Verbindung zur Automobilbranche stehen. Konkrete Namen werden jedoch nicht genannt. Auch wer hinter den Angriffen steckt, lässt sich noch nicht mit völliger Sicherheit sagen, doch es besteht zumindest ein Anfangsverdacht, dass es sich um eine Hackergruppe aus dem Iran handelt. So wurden die Payloads der Malware auf einer Webseite gehostet, die von einer Persona aus dem Iran registriert wurde. Hinzu kommen wahrscheinliche Verbindungen zu einer anderen Phishing-Kampagne, die auf Kunden der Santander Bank abzielte und bei einem iranischen Internet Service Provider gehostet wurde. Das legt den Schluss nahe, dass es sich um eine Hackergruppe aus dem Iran handelt, ein endgültiger Beweis dieser Schlussfolgerung steht allerdings noch aus. Auch zu den Zielen der Angreifer lässt sich noch keine abschließende Äußerung abgeben. Wahrscheinlich handelt es sich sowohl um Industriespionage als auch um einen Fall von Business E-Mail Compromise (BEC) oder CEO Fraud. Das ist eine Betrugsmasche, bei der die Angreifer sich als Vorgesetzter ausgeben und so die Opfer dazu bringen, Gelder schnell und ohne Kontrolle zu überweisen. Dafür spricht auch, dass die bisher verschickten E-Mails Raum für weitere Kontaktaufnahmen lassen, was dem falschen CEO bei einer solchen Masche zusätzliche Glaubwürdigkeit verleiht.

8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.