Phishing Welle im Umlauf – Trojaner GandCrab ködert mit Bewerbungen

Donnerstag, 17. Januar 2019, von Michael Beez

Die erste Phishing Welle des Jahres läuft auf vollen Touren. Unbekannte verschicken derzeit massenhaft gefälschte Bewerbungen die mit einem Verschlüsselungstrojaner infiziert sind. Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) und das von der BSI betriebene CERT haben bereits akute Warnmeldungen über eine bevorstehende / laufende Ausbruchswelle veröffentlicht.

Warnungen wie diese (hier klicken) zeigen, dass der Verdacht nicht unbegründet ist. Die Kriminellen bedienen sich wohl einer Technik die bereits vor fünf Jahren unter dem Namen „Goldeneye“ schon einmal funktioniert hat.  Dabei verbreitet sich der Trojaner offensichtlich über Mails, die vorgeben die Bewerbung einer gewissen Saskia Heyne zu sein. Vorsicht jedoch – der Name kann und wird sich wohl im Verlauf der Infektionswellen immer wieder ändern um eine Entdeckung zu erschweren. Im Anhang der vermeintlichen Bewerbung befindet sich ein Word-Dokument, welches beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden.

Bitte bestätigen Sie diese Anfrage auf keinen Fall und aktivieren Sie die Makros nicht. Ohne diesen Schritt fehlt dem Trojaner die Grundlage seinen Schadcode ausführen zu können.

Im Detail gibt das Dokument vor, dass es mit einer veralteten Version von Microsoft Word erstellt wurde. Damit soll der Leser dazu verleitet werden per Kompatibilitätsmodus weitere Inhalte des Dokuments zu aktivieren. Dabei handelt es sich genau um den zuvor angesprochenen Schadcode.

Technisch gesehen ist GandCrab nicht besonders ausgefeilt. Hier wird lediglich mit der Neugier und dem Interesse des Lesers gespielt um Ihn damit auszutricksen und den Schadcode zu aktivieren. Es scheinen leider immer noch genügend User auf den Trick hereinzufallen sodass sich das massenhafte Versenden solcher Schad-Mails nach wie vor lohnt. Es ist nicht auszuschließen, dass sich hier bereits mehrere Varianten des Trojaners in unterschiedlichen Ausführungen im Umlauf befinden.

Ein vorhandenes Anti-Viren Programm ist in diesem Fall leider auch kein Allheilmittel. Gerade auf Grund der Tatsache, dass sich solche Trojaner häufig schnell verändern kann es dazu kommen, dass die Datenbanken der Virenscanner nicht immer rechtzeitig mit den aktuellsten Informationen gefüttert werden können. Der beste Schutz vor solchen Angriffen ist es immer noch, derartige Mails äußerst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zuzulassen die aus nicht vertrauenswürdigen Quellen stammen – insbesondere dann nicht, wenn Sie mit dem Absender noch nie zuvor in Kontakt standen. Auf Grund vorangegangener Angriffe haben wir bereits einen kleinen Guide erstellt, der es Ihnen mit einigen Tipps erleichtert solche Mails zu erkennen. Diesen finden Sie unter folgendem Link (Bitte hier klicken).

Haben Sie ein akutes Problem oder Fragen bezüglich der IT-Sicherheit? Sprechen Sie uns gerne an. Als unabhängiger Dienstleister helfen wir Ihnen selbstverständlich gerne weiter. Ich stehe Ihnen jederzeit gerne unter +49 (07141) 48874-49 oder via Mail beez@aces-online.de zur Verfügung.

Freundliche Grüße

Michael Beez
Marketing & Sales Manager


Bildrechte: fotolia.de #169435664 | Urheber: arrow

Weitere Informationen

Aces News - Übersicht

Besuchen Sie Aces auch auf den sozialen Plattformen Facebook, Twitter und Xing.