Wie bekommt man die eigene Schadsoftware am einfachsten auf den Rechner der Zielperson? Eine Frage, die bei der Vorbereitung entsprechender Attacken eine entscheidende Rolle spielt. Und eine, auf die ein Gruppe von Cyberkriminellen nun eine verblüffend einfache Antwort gibt: Man schickt sie einfach mit der Post.

Ablauf

Die US-Bundespolizei FBI warnt vor einer neuen Angriffswelle gegen Unternehmen. Dabei werden USB-Sticks mit Malware an die als Opfer auserkorenen Firmen geschickt. Ist dort jemand unvorsichtig genug, den Stick mit einem Rechner zu verbinden, wird die Malware automatisch installiert.

BadUSB

Es handelt sich dabei um eine sogenannte Bad-USB-Attacke, die bekannte – und grundlegende – Schwächen von USB-Anschlüssen ausnutzt. Da mittlerweile bei vielen Firmenrechnern das automatische Einbinden von Datenträgern verboten wird, versucht es die Schadsoftware erst gar nicht auf diesem Weg. Stattdessen meldet sich der Stick als "Human Interface Device (HID)" – in diesem Fall als Tastatur – beim Betriebssystem an. Anschließend können auf diesem Weg beliebige Tastatureingaben an den Rechner geschickt werden.

In diesem Fall ist es nun so, dass unter Windows eine PowerShell geöffnet wird und darin diverse Befehle ausgeführt werden. So wird dann etwa bekannte Ransomware heruntergeladen und auf dem Rechner installiert. Es folgt wie gewohnt die Verschlüsselung aller lokalen Dateien und eine Lösegeldforderung. Dazu holt sich die Software auch auf anderem Weg Administratorrechte. Zudem fungiert der infizierte Rechner auch als Hintertür für die Angreifer, die damit Zugriff auf das interne Firmennetzwerk haben und in der Folge versuchen, noch mehr Systeme zu kapern.

Es geht um Geld

Die hinter der Attacke stehende Gruppe nennt sich FIN7 und ist seit Jahren für erpresserische Attacken mit finanziellen Motiven bekannt. Dabei lässt man sich immer wieder kreative Angriffswege einfallen. Schon vor zwei Jahren gab man sich etwa als der US-Elektronikhändler Best Buy aus und versuchte mit infizierten Flash-Laufwerken Hotels und Restaurants in die Falle zu locken. Bei der aktuellen Angriffswelle scheinen vor allem Firmen aus dem Transport-, Versicherungs- und Verteidigungswesen das Ziel zu sein.

Laut dem FBI kursieren derzeit zwei unterschiedliche Varianten der versandten Pakete: Bei dem einen wird das US Department of Health and Human Services (HHS) – also die Gesundheitsbehörde – als Absender angegeben, beigelegt sind Informationen zu den aktuellen Covid-19-Regeln – mit dem Versprechen, dass es auf dem USB-Stick weitere Details gibt. In einer zweiten Variante wird der Stick schlicht als Geschenkbox von Amazon verschickt – samt gefälschtem Dankesschreiben.

Spuren

Allerdings hätten die Opfer in dem Fall auch relativ einfach herausfinden können, dass hier etwas nicht ganz in Ordnung ist. So prangt auf den verschickten USB-Geräten der Markenname Lilygo. Wer eine einfache Google-Suche bemüht, wird schnell bemerken, dass es sich dabei um USB-Microcontroller handelt, die unter anderem eben für genau solche Bad-USB-Angriffe genutzt werden können – und nicht um Speichersticks. (apo, 10.1.2022)