Spam-Kampagne nutzt „Black Lives Matter“ als Köder

Fortiguard Labs, die Abteilung für Bedrohungsforschung des IT-Sicherheitsanbieters Fortinet, hat eine globale Spam-Kampagne aufgedeckt, die „Black Lives Matter“ als Köder nutzt.

Am 10. Juni 2020 bemerkten die Fortiguard Labs eine globale, bösartige Spam-Kampagne, die sich an potenzielle Unterstützer der „Black Lives Matter“-Bewegung richtet. Wie schon bei der COVID-19-Pandemie nutzen Angreifer aktuell bei den Protesten in den Vereinigten Staaten sowie in anderen Ländern den weltweiten Nachrichtenkreislauf, um arglose Opfer dazu zu bringen, bösartige Anhänge herunterzuladen und zu öffnen.

Die Kampagne verwendet verschiedene Betreffzeilen für E-Mails mit einem angehängten bösartigen Microsoft Word-Dokument. Der Inhalt des Dokuments ist übereilt geschrieben und verwendet schlechte Grammatik. Das Thema „Black Lives Matter“ wird genutzt, um die Opfer dazu zu bewegen, den Anhang zu öffnen:

„Leave a review confidentially about [various Black Lives Matter subjects]
Claim in attached file“.

Die E-Mails variieren Betreff und Absendernamen, um entweder Spam-Filter zu umgehen oder einfach, um Verwirrung zu stiften. Der Anhang besteht aus einem Standard-Microsoft-Word-Dokument mit einem generischen Bild, das den Benutzer dazu verleitet, Makros zu aktivieren.

Die USA und Kanada sind die Hauptziele der Kampagne. Fortiguard Labs hat jedoch Variationen dieser Kampagne festgestellt, die auch andere Länder betreffen, unter anderem Deutschland.

Die Kampagne wendet dieselbe Strategie an wie frühere Trickbot-Angriffe. Die Akteure hinter Trickbot haben sich schon früher Trendthemen zunutze gemacht. Eine kürzlich durchgeführte Kampagne konzentrierte sich auf COVID-19 und wurde von Fortiguard Labs bereits analysiert. Aus der OSINT-Recherche geht hervor, dass die von den Akteuren hinter dieser jüngsten Kampagne verwendeten Command-and-Control-Server auch zwei spezifische Websites kompromittiert haben: eine Website einer Stadtverwaltung in Südostasien, die das CMS Joomla verwendet sowie die eines Herstellers in den Vereinigten Staaten, der WordPress als CMS einsetzt.

Domänen und Infrastrukturen der Bedrohungsakteure sind alle in der Tschechischen Republik (CD-Telematika a.s.) angesiedelt. Dies lässt allerdings keine eindeutigen Schlüsse hinsichtlich der Zuordnung der Kampagne zu. Die Überprüfung der passiven DNS-Einträge von Fortiguard Labs hat in Bezug auf vergangene Kampagnen, die von den identifizierten Servern ausgingen, nichts ergeben. Dies ist vor dem Hintergrund, dass virtuelle private Server und Ondemand-Cloud-Infrastrukturen leicht aufzubauen sind, zunehmend der Fall.

#Fortinet