Info-Stealer-Kampagne

Deutsche Autoindustrie im Visier

Security-Forscher sind auf eine groß angelegte Phishing-Kampagne gestoßen, die auf die deutsche Autoindustrie abzielt. Ziel ist es, sensible Informationen zu stehlen.
Von 
CSO | 13. Mai 2022 16:10 Uhr
Cyberkriminelle haben es auf die deutsche Autoindustrie abgesehen.
Cyberkriminelle haben es auf die deutsche Autoindustrie abgesehen.
Foto: Who is Danny - shutterstock.com

Analysten des Sicherheitsanbieters Check Point haben böswillige Mails entdeckt, die deutsche Autofirmen imitieren. Ziel der Angreifer sei es, in die internen Systeme der Automobilindustrie vorzudringen, um die Netzwerke mit Malware zu infizieren und Zugangsdaten zu sensiblen Informationen zu stehlen, heißt es in dem Bericht.

"Die Akteure hinter der Aktion registrierten zunächst mehrere ähnlich aussehende Domains, die allesamt existierende deutsche Autohäuser nachahmten," so die Sicherheitsforscher. Von diesen Domains, auf denen die Malware-Infrastruktur gehostet werde, würden später Phishing-E-Mail versendet.

Laut dem Security-Anbieter haben es die Angreifer sowohl auf Automobilhersteller als auch auf Autohäuser und Werkstätten abgesehen. Die E-Mails der Betrüger würden täuschend echt aussehen und enthielten gefälschte Dokumente wie eine Quittung für die Auslieferung eines Neufahrzeugs.

Wenn das Opfer auf die angehängte ISO-Datei klickt, wird im Hintergrund ein schädlicher Code ausgeführt. "Wir haben mehrere Versionen dieser Skripte gefunden, von denen einige PowerShell-Code auslösen, einige sind verschleiert und andere im Klartext. Alle von ihnen laden verschiedene Malware-as-a-Service (MaaS)-Info-Stealer herunter und führen sie aus", erklären die Forscher.

Wer steckt hinter den Angriffen?

Die in der Kampagne verwendeten Malware-Arten variieren. Unter anderem fanden die Security-Analysten Raccoon Stealer, AZORult und BitRAT. Nach den Angaben von Check Point konnten die Angriffe auf 14 deutsche Zielunternehmen zurückgeführt werden, die in irgendeiner Weise mit der Automobilindustrie in Verbindung stehen. Die Namen der betroffenen Firmen werden im Bericht allerdings nicht genannt.

Als die Forschergruppe die Malware verfolgte, stießen sie auf eine iranische Website, die als Hosting-Site verwendet wurde. "Aber es ist unklar, ob es sich um legitime Websites handelte, die kompromittiert wurden, oder ob sie eine größere Verbindung zu dieser Operation haben", heißt es dazu.

Bei den Angriffen könnte es sich um Wirtschaftsspionage oder Wirtschaftsbetrug handeln, aber die genaue Motivation der Hacker ist derzeit noch nicht ganz klar. "Eine Möglichkeit ist, dass die Angreifer versuchten, Autohäuser zu kompromittieren und ihre Infrastruktur und Daten zu nutzen, um Zugang zu sekundären Zielen wie größeren Lieferanten und Herstellern zu erhalten. Das wäre nützlich für Business-Email-Compromise (BEC)-Betrug oder Industriespionage",sagt Yoav Pinkas, Leiter der Sicherheitsforschung bei Check Point.

Laut den aktuellen Erkenntnissen der Security-Forscher handelt es sich um eine fortlaufende Phishing-Kampagne, die im Juli 2021 begann.

Lesetipp: Phishing-Kampagne -Neue Malware versteckt sich hinter Covid-19-Informationen

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.