Verschiedene kriminelle Gruppen nutzten die mediale Aufmerksamkeit um das verschwundene Flugzeug MH 370, um Attacken zu starten. Zwar sind viele Angriffe inzwischen sehr ausgeklügelt, ab und zu nutzen Cyberkriminelle aber immer noch Spear-Phishing-Mails. So haben auch diverse Gruppierungen das Verschwinden des malaysischen Flugzeuges genutzt, um bösartige Anhänge zu verbreiten.

Die „Admin@338“-Gruppe zum Beispiel startete zwei Angriffe: einen gegen eine asiatische Regierung, einen gegen ein bekanntes US-amerikanisches Think-Tank. Die Mails des ersten Angriffs enthielten lediglich ein leeres Dokument mit dem Namen „Malaysian Airlines MH370.doc“. In der zweiten Kampagne war es eine Datei namens „Malaysian Airlines MH370 5m Video.exe“ in Kombination mit einem Flash-Icon. Beide Male wurde beim Öffnen eine Variation von Poison Ivy installiert.

Am 09. März 2014 wurde dann eine weitere bösartige Datei entdeckt:

„Search for MH370 continues as report says FBI agents on way to offer assistance.pdf .exe“,

welche mit einem Standard-PDF-Icon auf dem jeweiligen Gerät erscheint. Sicherheitsforscher identifizierten diese Datei als Backdoor.APT.Naikon. Öffnet man die Datei, erscheint sogar ein PDF, um den Schein zu wahren.

Über “MH370班机可以人员身份信息.doc” (ungefähre Übersetzung: „MH370 Flugpersonal Information über Identitäten“) wurde einen Tag später ein Trojaner verbreitet. Weitere Gruppen nutzen ähnliche Dokumente und Strategien, um ihre Malware zu verbreiten.

Sicherheitsexperten wiesen bereits wiederholt auf die verbreitete Gefahr von Phishing-Attacken hin. Vor allem, wenn es sich um aktuelle Nachrichtenmeldungen handelt.

Artikel von fireeye.com, 24.03.2014: Spear Phishing the News Cycle: APT Actors Leverage Interest in the Disappearance of Malaysian Flight MH 370