Wie man dem Cutwail-Botnet die Tür zuschlägt: DMARC erzwingen

Cutwail wurde erstmals im Jahr 2007 entdeckt und ist ein großes Botnet, das aus infizierten Windows-Hosts besteht. Im Jahr 2009 wurde festgestellt, dass das Cutwail-Botnet, gemessen an der Anzahl der infizierten Hosts, das größte Botnet seiner Art ist. Cutwail ist auch heute noch aktiv, und sein Hauptziel besteht darin, infizierte Hosts in Spambots zu verwandeln, die große Mengen bösartiger und anderweitig unerwünschter E-Mails generieren können. In der Vergangenheit war Cutwail für die Verbreitung bekannter Malware-Familien wie Gozi, URLZone und Dridex verantwortlich.

In den letzten Monaten ist Cutwail immer aktiver geworden und hat Angriffe per E-Mail mit bösartigen URLs und Excel-Dateianhängen versendet. Diese Angriffe wurden häufig unter dem Deckmantel von Domänen und Marken bekannter globaler Unternehmen wie Intuit, UPS, FedEx und ADP versandt. Bekannte Marken sind äußerst nützlich, insbesondere für Spamming-Dienste wie Cutwail, da die große Mehrheit der Empfänger sie zumindest wiedererkennt, wenn nicht sogar regelmäßig Geschäfte mit ihnen macht, und daher eher bereit ist, den E-Mails zu vertrauen und sich mit ihnen zu beschäftigen.

Die gute Nachricht ist, dass alle diese Unternehmen, wie auch viele andere, das Richtige getan haben, um die Ausnutzung ihrer Online-Marken per E-Mail zu stoppen: Sie haben DMARC implementiert und außerdem die "p"-Werte ihrer DMARC-DNS-Einträge auf "reject" gesetzt. Das bedeutet, dass jedes E-Mail-Sicherheitssystem, das diese betrügerischen E-Mails empfängt, in der Lage sein sollte, sie zu analysieren und als Fälschungen zurückzuweisen. Die Implementierung von DMARC ist kein triviales IT-Projekt, und daher sollten wir den Domaininhabern, die dies erfolgreich getan haben, Anerkennung zollen.

Die schlechte Nachricht ist, dass viele dieser E-Mails nach wie vor bei ihren Adressaten ankommen und offenbar auch bearbeitet werden. Warum? Leider setzen nicht genügend Unternehmen DMARC für ihre eingehenden E-Mails durch, so dass die DMARC-Aktionsanforderung "p=reject" auf taube Ohren stößt. Dieses Problem der mangelnden DMARC-Durchsetzung ist nicht neu. Vor kurzem berichtete das SC Magazine, dass Angriffe, die Microsoft.com fälschen, ironischerweise an Unternehmen gesendet wurden, die Microsoft 365 als E-Mail-Anbieter nutzen. Offensichtlich setzen viele Unternehmen, die Microsoft 365 nutzen, DMARC nicht durch, obwohl Microsoft Microsoft.com auf DMARC "ablehnen" eingestellt hat.

Sehen wir uns ein paar aktuelle Beispiele für bösartige E-Mails an, die vom Cutwail-Botnet versendet werden.

Beachten Sie in diesen Beispielen, dass diese von Cutwail generierten E-Mails nicht die ähnlichen Versanddomänen von UPS und Intuit verwenden, sondern die tatsächlichen Domänen der gefälschten Organisationen - intuit.com & ups.com. In Kombination mit dem entsprechenden Branding und Text wird so die Glaubwürdigkeit der E-Mail erhöht und damit die Bindung zum Empfänger verbessert. Darüber hinaus spielen auch ansprechende E-Mail-Betreffs eine Rolle bei der Gewinnung von Vertrauen und Engagement.

Beispielthemen:

• FedEx Billing Online - Zahlungsbereite Rechnungen
• Ihre UPS-Rechnung ist fertig
• ADP Gehaltsabrechnung Rechnung(en) 04-NOV-2020: 193987187
• FBA-Frachtbrief für eingehende Sendungen bereit (FBA855RXJZV9)
• Rechnung 419665
• Elektronische Rechnung (#05250943)
• Zur Erinnerung: Rechnung 625953

Leider belohnt das Ziel mit dem Download des Trojaners Dridex von einem dieser Orte:

hxxp://declareeducation[.]com/zzp9nf57e.zip
hxxp://demo[.]linuxuatwebspiders[.]com/hwlkzsx.zip
hxxp://dekowood-dev[.]uzor[.]group/kz70ctm.zip
hxxp://personnel[.]districtweb[.]ca/lqicoh.zip
hxxp://sl-elite[.]net/cuiq5y2.zip
hxxp://testtime[.]emsapps[.]net/raistmat.zip
hxxp://sparkasse[.]africamojatours[.]co[.]za/fcm6rtep.txt
hxxp://organisme[.]districtweb[.]ca/jp3x5s1w.txt
hxxp://e2mblog2[.]linuxuatwebspiders[.]com/iejvut.txt
hxxp://sentable[.]cz/fj5oilayy.txt
hxxp://simplvid[.]xpleomedia[.]com/emkbnc6.txt
hxxp://bary[.]sz4h[.]com/g6g9tu4.gif
hxxp://bancomext[.]demasys[.]net/vj0g4rl.gif
hxxp://officehelp[.]uzor[.]group/pguip0gny.gif
hxxp://businessdebthelper[.]com/yozcw4.pdf
hxxp://cafeplus[.]districtweb[.]ca/g6fb8jcz9.pdf
hxxp://casadosirmaos[.]bitnetbr[.]com/n1c9hq9ps.jpg
hxxp://pc[.]helloconci[.]com/wpbhvi8.jpg
hxxp://metal-test[.]cn/rmjiyy1.jpg
hxxp://bajajclasses[.]com/jw4kb9.jpg
hxxp://chickencode[.]appsdesignstudio[.]com/ihmkigi.jpg
hxxp://ctalk[.]helloconci[.]com/a5goz2s.rar

Wenn der Dridex-Trojaner installiert ist, haben die Angreifer einen großen Spielraum, was die nächsten Schritte angeht. Leider hat sich in letzter Zeit gezeigt, dass die Bereitstellung von Ransomware in der nächsten Phase des Angriffs sehr beliebt ist.

Die Quintessenz

Es gibt zwar viele Möglichkeiten, von Cutwail-Botnets initiierte Angriffe zu stoppen, z. B. durch Sicherheitsschulungen, die das Engagement der Benutzer ansprechen, und durch ausgefeilte Endpunkt-Schutzmaßnahmen, die die Installation der Malware blockieren, aber es ist besonders frustrierend, dass eine Kontrolle, die speziell dafür entwickelt wurde, diese Art von Phishing für die Phisher zu erschweren - DMARC - noch nicht auf breiterer Basis eingeführt wurde. Die Domänenbesitzer haben ihren Teil getan, aber was ist mit allen anderen in der Welt der E-Mail?

Hinweis: Die Abwehrmaßnahmen von Mimecast im Namen unserer Kunden gegen diese von Cutwail generierten E-Mails haben sich als wirksam erwiesen.

Primärforschung durchgeführt von Samantha Clarke, Mimecast Threat Research Engineer