Der US-Rüstungskonzern Raytheon will die Netzwerk-Sicherheits-Firma Websense für 1,9 Milliarden US-Dollar zum Großteil aufkaufen. Kurz nach der Bekanntgabe des Plans erhielten Websense-Mitarbeiter unter dem Deckmantel der Firmenübernahme Phishing-Mails.

Angreifer nutzten die Gunst der Stunde und verschickten im Zuge einer Firmenübernahme als Willkommensnachricht getarnte Phishing-Mails, um mit einer raffinierten Methode Schadcode auf die Computer von Angestellten zu schmuggeln.

Um sich möglichst unbemerkt auf Firmen-Computern einzuschleichen, setzen die Hacker auf eine DLL-Sideloading-Attacke. Dabei bauen sie auf das Zusammenspiel des Kaspersky-Installers im Anhang der Phishing-Mail und einer DLL-Bibliothek. Dabei wird der ausführbaren Kaspersky-Datei die bösartige DLL-Datei untergeschoben, die sich im gleichen Verzeichnis befindet. Zum Zeitpunkt des Angriffs war der Kaspersky-Installer mit einem gültigen Zertifikat versehen, erregte also keinen Verdacht.

Der Angriff scheint Websense zufolge nicht erfolgreich gewesen zu sein. Das sei vor allem auf die Unglaubwürdigkeit der Phishing-Mail zurückzuführen, die aufgrund von Schreibfehlern und dem Fehlen des offiziellen Brandings von Raytheon die Alarmglocken der Mitarbeiter schrillen ließ. Bei weiteren Untersuchungen von Websense stellte sich heraus, dass die Absenderadresse der Phishing-Mail manipuliert war und die Nachricht von einer japanischen Domain stammte.

websense_logo

Categories: Hauptseite