Laut Mimecast wurde der Cyber-Angriff bereits mehr als 16.000 Mal gemeldet, darunter in den USA, Großbritannien, Deutschland, Australien und Südafrika. Die Kriminellen nutzen eine Windows-Funktion, um die Malware zu verbreiten. Durch Phishing-Mails versenden sie Links mit einer Aufforderung zum Download. Mit dem Klick auf „Installieren“ wird schließlich ein App-Bundle heruntergeladen, das die Malware enthält.
Die Kampagne stellt ein Einfallstor für Ransomware dar – und hat deshalb gerade für Unternehmen enormes Risikopotenzial.
Hintergrund
Im Juni 2021 veröffentlichte Microsoft im Windows Store eine neue Funktion namens „App Installer“. Durch diese können Benutzer:innen Windows 10-Apps direkt von einer Webseite aus installieren – ohne den Umweg über den Microsoft Store. Leider nutzen Cyberkriminelle, die auch für die Verbreitung von Malware wie Trickbot und BazarLoader verantwortlich sind, diese Funktion aus.
Die Kriminellen sind dafür bekannt, Zugriffe aus kompromittierten Netzwerken an Dritte zu verkaufen, die diese dann für die Verbreitung von Ransomware verwenden. Trickbot trat zum ersten Mal im Jahr 2016 auf die Bildfläche; das hauptsächliche Angriffsziel sind nach wie vor Finanzunternehmen.
BazarLoader ist im Wesentlichen ein Spin-off von Trickbot, um bösartige Payloads über Microsoft- und JavaScript-Anhänge in Spam-E-Mails zu übermitteln, die bis zur Aktivierung unentdeckt bleiben. Ziel dieser Malware ist es, Bankdaten, personenbezogene Daten und/oder Benutzeranmeldeinformationen zu stehlen.
Unternehmen in Bedrängnis
Besonders für Unternehmen stellt die neue Malware-Kampagne eine Herausforderung dar. Ab Windows 10 2014 ist das Sideloading standardmäßig aktiviert. Die Deaktivierung der Funktion führt dazu, dass Apps, die nicht im Windows App Store verfügbar sind, nicht mehr so einfach heruntergeladen bzw. installiert werden können.
Gerade Unternehmen benötigen jedoch oftmals eigens für sie entwickelte Programme, die natürlich nicht im App Store und damit für jedermann zugänglich sind. Dementsprechend ist eine Deaktivierung der Funktion für viele Unternehmen ausgeschlossen.
Wie der Sideloading-Trick funktioniert
Betroffene erhalten zunächst eine personalisierte Phishing-Mail. Die E-Mail kann beispielsweise eine vermeintliche Kundenbeschwerde beinhalten, welche den vollen Kundennamen enthält und somit auf den Empfänger täuschend echt wirkt. Die E-Mail enthält einen Link, welcher angeblich zu einem PDF mit der Beschwerde führen soll.
Aber anstatt die Kundenbeschwerde herunterzuladen, verwendet die Schadsoftware das Sideloading, um den Windows App Store zu umgehen und Malware zu installieren: Klickt der Nutzer auf den Link, wird er zu einem Download einer speziellen App aufgefordert, um das PDF Dokument öffnen zu können.
Die Meldung sieht aus, als wäre sie direkt von Windows selbst – sie ist jedoch Teil der Betrüger-Webseite. Mit dem Klick auf „Installieren“ wird schließlich ein App-Bundle heruntergeladen, welches die Malware enthält.
Wie Unternehmen sich vor Sideloading-Angriffen schützen können
Unabhängig davon, ob ein Unternehmen Sideloading zulässt, ist die beste Verteidigung gegen sich ständig weiterentwickelnde Bedrohungen wie diese eine Kombination aus effektiver Antivirus-Software und Schulungen zur Sensibilisierung der Mitarbeiter:innen.
Eine mehrschichtige E-Mail-Sicherheitsstrategie bietet die erforderliche Effizienz, um Unternehmen, Informationen und Mitarbeiter:innen zu schützen. Das Scannen von E-Mails und das Aussortieren verdächtiger Inhalte helfen, Spam zu blockieren, bevor die Ransomware in das Unternehmen gelangt.