Cybersicherheitsexperten haben eine ausgeklügelte neue Methode zur Verbreitung von Kryptomining-Malware aufgedeckt. Angreifer nutzen dabei kompromittierte E-Mail-Konten und deren Autoantwort-Funktionen, um die Schadsoftware Xmrig zu verteilen. Diese Malware dient dem verdeckten Schürfen der Kryptowährung Monero auf infizierten Systemen.
Funktionsweise des Angriffs
Die Angreifer verschaffen sich zunächst Zugang zu E-Mail-Konten, indem sie gestohlene Zugangsdaten aus früheren Datenlecks verwenden. Anschließend aktivieren sie die Autoantwort-Funktion dieser Konten und konfigurieren sie so, dass auf jede eingehende E-Mail automatisch mit einer schädlichen Nachricht geantwortet wird. Diese Autoantworten enthalten gefälschte Rechnungen als Anhänge sowie Links zu Cloud-Speichern, von denen die Xmrig-Malware heruntergeladen wird.
Besondere Gefahr durch vertrauenswürdige Absender
Diese Angriffsmethode ist besonders gefährlich, da die potenziellen Opfer selbst die Kommunikation initiieren. Sie erwarten eine Antwort von einem vertrauenswürdigen Kontakt und sind daher eher geneigt, auf Links zu klicken oder Anhänge zu öffnen. Dmitry Eremenko, leitender Analyst bei FACCT, erklärt: „Im Gegensatz zu herkömmlichen Massen-E-Mails, die oft ignoriert werden, ist hier bereits eine Kommunikation etabliert. Auch wenn die Antwort seltsam erscheint, weckt sie möglicherweise eher Neugier als Misstrauen.“
Ausmaß und Ziele der Angriffe
Seit Ende Mai wurden über 150 solcher schädlichen E-Mail-Kampagnen blockiert. Die Angriffe zielten auf führende russische Internetunternehmen, den Einzelhandel, Online-Marktplätze sowie Versicherungs- und Finanzunternehmen ab. Unter den kompromittierten E-Mail-Konten befanden sich hauptsächlich Privatpersonen, aber auch Konten von Insolvenzverwaltern, kleinen Handelsunternehmen, Bauunternehmen und landwirtschaftlichen Betrieben.
Schwachstellen in der Passwortsicherheit
Die Untersuchungen ergaben, dass viele der kompromittierten E-Mail-Adressen in früheren Datenlecks aufgetaucht waren. Die Passwörter waren entweder im Klartext oder als leicht zu knackende Hashes gespeichert. Viele Nutzer verwendeten zudem identische Passwörter für mehrere Dienste, was die Kompromittierung zusätzlich erleichterte.
Diese raffinierte Angriffsmethode unterstreicht die Notwendigkeit erhöhter Wachsamkeit im digitalen Zeitalter. Unternehmen und Privatpersonen sollten ihre Cybersicherheitsmaßnahmen dringend überprüfen und verstärken. Dazu gehören die Verwendung starker, einzigartiger Passwörter für jeden Dienst, die Aktivierung der Zwei-Faktor-Authentifizierung und regelmäßige Sicherheitsupdates. Nur durch proaktive Schutzmaßnahmen und kontinuierliche Schulungen können wir uns gegen solch ausgeklügelte Cyberbedrohungen wappnen.