Laut Bitdefender-Forschern wurden kürzlich Spearphishing-Kampagnen mit dem Spyware-Trojaner Agent Tesla im Öl- und Gassektor durchgeführt. Sie sind ein plastisches Beispiel dafür, wie Cyberkriminelle die aktuellen wirtschaftlichen Verwerfungen in der Corona-Krise für ihre Zwecke ausnutzen.
Eine Kampagne gab sich dabei als ein bekanntes ägyptisches Ingenieurbüro aus, eine weitere als eine Versandfirma.
Die Öl- und Gasindustrie stand in den letzten Wochen unter enormem Druck, da die weltweite COVID-19-Pandemie die Ölnachfrage senkte. Ein Streit über die Ölförderung zwischen Russland und Saudi-Arabien endete mit einer Einigung auf dem jüngsten Treffen zwischen der OPEC+ Allianz und der Gruppe der 20 Nationen. Die Ölpreise pro Barrel sind um mehr als die Hälfte auf den niedrigsten Stand seit 2002 gefallen und haben zuletzt teilweise Minuswerte erreicht.
Als Spearphishing bezeichnet man eine Taktik von Cyberkriminellen. Sie basiert darauf, mit sehr gezielten und gut recherchierten Nachrichten ganz bestimmte Personen oder Organisationen zu veranlassen, Links oder Anhänge zu öffnen, über die dann Schadsoftware installiert wird. Die vor kurzem gefundenen Kampagnen richteten sich speziell an den Öl- und Gassektor – das zeigt eine Telemetrie-Spitze bei Bitdefender am 31. März. Es handelt sich bei der Schadsoftware um einen Spyware-Trojaner mit Keylogging-Fähigkeiten. Hierbei wurde ein Ingenieurunternehmen (Enppi – Engineering for Petroleum and Process Industries) imitiert, das Erfahrung mit Onshore- und Offshore-Projekten in der Öl- und Gasindustrie hat. Die Kampagne missbrauchte den guten Ruf des Unternehmens, um unter anderem die Energieindustrie in Malaysia, den Vereinigten Staaten, Iran, Südafrika, Oman und der Türkei ins Visier zu nehmen.
Die zweite Kampagne gab sich als eine Versandfirma aus und nutzte Informationen über einen Chemikalien- und Öltanker sowie den passenden Branchenjargon, um der E-Mail Glaubwürdigkeit zu verleihen. Sie schien am 12. April begonnen zu haben und zielte im Laufe von zwei Tagen jeweils auf eine Handvoll Reedereien mit Sitz auf den Philippinen ab.
Die Agent Tesla Spionagesoftware
Der Spyware-Trojaner Agent Tesla ist Berichten zufolge seit 2014 im Umlauf, wurde jedoch ständig weiterentwickelt und aktualisiert. Er wird im Rahmen eines Malware-as-a-Service-Angebots betrieben, wobei seine Entwickler verschiedene Preisstufen auf der Grundlage unterschiedlicher Lizenzmodelle anbieten. Die Betreiber von Agent Tesla scheinen schon seit geraumer Zeit im Geschäft zu sein.
Einige seiner bekanntesten und beliebtesten Funktionen umfassen Tarnungs-, Persistenz- und Sicherheitsumgehungstechniken, die es ihm letztendlich ermöglichen, Anmeldedaten zu extrahieren, Daten aus der Zwischenablage zu kopieren und Screen-Captures, Form-Grabbing und Keylogging-Funktionen durchzuführen sowie Anmeldedaten für eine Vielzahl von installierten Anwendungen zu sammeln. Bisher wurde Agent Tesla nicht mit Kampagnen auf die Öl- und Gasbranche in Verbindung gebracht.
Weitere Details finden sich auf dem Bitdefender Labs Blog.
www.bitdefender.de