02.02.2016 11:16

Aktuelle Spamwelle (Dridex)

In den letzten Tagen gibt es vermehrt Berichte darüber, dass die Malware Dridex nach einer kurzen Winterpause wieder verstärkt aktiv ist.

• Dridex Botnet Resumes Spam Operations After the Holidays (Fireeye)
• Dridex malspam example from January 2016 (SANS ISC)
• Malicious Office files dropping Kasidet and Dridex (Zscaler)

Auch wir wurden bereits mit entsprechenden Berichten kontaktiert. Während solche Wellen grundsätzlich nicht ungewöhnlich sind, sticht diese hier hauptsächlich durch zwei Dinge hervor.

Zum einen 'mutiert' Dridex häufig, was es Antivirenlösungen massiv erschwert, diese Schadsoftware zuverlässig zu erkennen. Zum anderen scheint sie sich eines neuen Tricks zu bedienen, um arglose Nutzer dazu zu bringen, den bösartigen Anhang zu öffnen.

Laut heise.de täuschen die Mails, in deren Anhang sich die Malware befindet, vor, von einem firmeninternen Drucker / Scanner zu kommen. Dies hebelt oftmals technische (z.B. Mailfilter) als auch menschliche (Stichwort "Awareness") Schutzmassnahmen aus.

Neben unseren generellen Empfehlungen (automatische Updates nutzen, Firewall aktivieren und Antivirensignaturen aktuell halten) ist das Filtern von Officedateien, die Makros beinhalten (realisierbar in vielen gängigen Sicherheitslösungen), eine geeignete Massnahme, um die Gefahr durch die momentane Welle abzuschwächen. Weiters ist es ebenfalls durchaus empfehlenswert, seinen Nutzern einzubläuen, auch scheinbar interne Mails misstrauisch zu behandeln.

Autor: Alexander Riepl