|
|
|
|
|
|
|
#1 von
floh67
, 11.05.2019 10:02
Zitat
Fake-Bewerbungsmails: Trojaner versteckt sich erfolgreich vor Antiviren-Software
Derzeit rollt eine neue Welle von Fake-Bewerbungen durch das Internet. Ziel ist es, den Erpressungstrojaner Gandcrab auf Computer zu bringen.
von Dennis Schirrmacher
Wer die Makros in der Fake-Bewerbung aktiviert, infiziert seinen Computer mit dem Verschlüsselungstrojaner Gandcrab.
Wer dieser Tage eine E-Mail mit dem Betreff "Bewerbung für die ausgeschriebene Stelle" oder "Bewerbung auf Ihre Stellenausschreibung" erhält, sollte aufhorchen: Heise Security liegen mehrere Mails dieser Art vor, die ein Word-Dokument mitbringen, das einen Trojaner auf Windows-Computer holt. Vor allem Personaler sollten sich vor solchen Mails in Acht nehmen. Absender und Betreffzeile der Nachrichten variieren.
Gar nicht erst Öffnen!
Der Dateiname des Dokuments besteht aus Ziffern – beispielsweise 418177678.doc – und es ist mit Makros versehen. Wer die Datei öffnet, wird aufgefordert die Makros zu aktivieren, um die Kompatibilität zu gewährleisten und das Dokument lesen zu können.
Das sollte man auf gar keinen Fall machen! Ansonsten holt man sich den Erpressungstrojaner Gandcrab auf den PC, haben Sicherheitsforscher von Hornet Security herausgefunden. Die Makros öffnen ihnen zufolge ein verstecktes Terminal, um mit PowerShell Kommandos auszuführen und so Gandcrab herunterzuladen und auszuführen. Der Schädling verschlüsselt Dateien und fordert ein Lösegeld.
So wie es aussieht, sind die Makros für Microsoft Word ausgelegt. Heise Security hat das Dokument in LibreOffice geöffnet und die Makros hatten dort keine Funktion.
Unter dem Radar von AV-Software
Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können. Dementsprechend schlug zum Zeitpunkt der Meldung keiner der 58 Scanner der Analyseplattform Virustotal an.
Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben. Wer so eine Nachricht bekommt, sollte sie löschen und den Anhang am besten gar nicht erst herunterladen geschweige denn öffnen. (des)
© heise.de
Portal
Login
Online?
Mitglieder
Registrieren
Wiki
https://www.heise.de/security/meldung/Fake-Bewerbungsmails-Trojaner-versteckt-sich-erfolgreich-vor-Antiviren-Software-4419591.html?utm_source=pocket-newtab
"Es ist leichter die Menschen zu täuschen, als sie zu überzeugen, dass sie getäuscht worden sind.'' (Mark Twain)
| Beiträge: | 2.044 |
| Registriert am: | 25.03.2011 |
#2 von
Roadrunner
, 11.05.2019 11:19
Zitat
Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie haben es schlicht mit einem Passwort versehen, so dass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können.
Sehr trickreich
Sola Scriptura
In a world without walls and fences,
who needs windows and gates?
Linux is like a wigwam with an Apache inside
¥€$ WE $CAN
| Beiträge: | 8.823 |
| Registriert am: | 11.01.2010 |
 | Einfach ein eigenes Forum erstellen |