Gefälschte Bewerbungen: Trojaner umgeht Entdeckung durch Virenscanner

Mai 10, 2019 3:52 pm Veröffentlicht von

Mails mit gefälschten Bewerbungen enthalten Ransomware Gandcrab

 

Schon wieder ist eine Welle von Emails mit Epressungstrojanern im Umlauf. Dabei versuchen Cyberkriminelle, erneut mit der Ransomware Gandcrab, Rechner und Netzwerke der Nutzer zu infizieren. Ziele sind dabei vor allem Unternehmen.
Wir erklären Ihnen, worauf Sie achten sollten und wie Sie Ihr Unternehmen am besten schützen können.

 

 

Immer wieder Email-Angriffe

Die Email ist und bleibt der beliebteste Angriffsweg für Cyberkriminelle. Über sie lässt sich Malware großflächig, effizient und flexibel in Dateianhängen verschicken. Dabei setzen die Kriminellen darauf, dass ihre schädlichen Mails in der täglichen Informations- und Email-Flut nicht erkannt oder nicht in Frage gestellt werden. Die Tage der Spam-Mails mit schlechter Rechtschreibung und Grammatik sind dabei längst vorüber (auch wenn sie noch nicht vollständig verschwunden sind):

Die Cyberkriminellen arbeiten professioneller und wissen, wie sie Emails gestalten müssen, um die potentiellen Opfer dazu zu bewegen, die schädlichen Anhänge zu öffnen. Um ihre Chancen zu erhöhen, individualisieren deshalb viele Verbrecher ihre Mail-Inhalte, um beim Empfänger so glaubwürdig wie möglich zu wirken. Wie gut das gelingt, hängt dabei davon ab, über was für eine Menge an Informationen die Angreifer im Vorfeld verfügen und wie gut sich diese Informationen zum Zuschneiden von Angriffen eignen.

Aber auch breiter gefasste Angriffe, bei denen eine große Menge an schädlichen Emails “auf gut Glück” an Firmen verschickt werden, treten häufig auf und sollten durchaus ernst genommen werden, um nicht in einem Moment der Unachtsamkeit in die Falle zu tappen.

 

Schädliche Emails erkennen

Die derzeitige Angriffswelle nutzt gefälschte Bewerbungen, um den Schädling Gandcrab an Unternehmen zu verschicken. Das war auch im Herbst 2018 der Fall, als Gandcrab das erste Mal größere Schlagzeilen machte.

Die Emails, die im Moment vermehrt im Umlauf sind, scheinen wenig individualisiert zu sein. Sie verfügen über allgemeiner gefasste Betreffzeilen wie “Bewerbung für die ausgeschriebene Stelle” oder “Bewerbung auf Ihre Stellenausschreibung”. Gehen Sie mit Bedacht vor, wenn Sie Emails mit solchen Betreffen in Ihrem Postfach finden.

Ob es sich bei den Mails tatsächlich um die gefälschten Bewerbungen handelt, können Sie auch am Namen des beigefügten, vermeintlichen Bewerbungsdokuments erkennen:
Laut heise.de besteht der Name der Dokumente nur aus einer Kombination aus Ziffern, beispielsweise “418177678.doc”.

Öffnet man das Dokument mit Microsoft Word, so wird man dazu aufgefordert, Makros zu aktivieren, um angeblich die Kompatibilität des Dokuments mit Ihrer Word-Version zu gewährleisten.

In den Makros steckt allerdings die Gefahr: Lässt man die Aktivierung der Makros zu, so öffnen diese ein verstecktes Terminal. Über PowerShell werden dann Kommandozeilenbefehle ausgeführt, mit welchen der Erpressungstrojaner Gandcrab heruntergeladen wird. Dieser beginnt dann mit der Verschlüsselung Ihrer Dateien und fordert ein Lösegeld.

 

An Antivirus-Software vorbeigeschleust

Gandcrab ist eigentlich ein bekannter Schädling. Um der Aufdeckung durch AV-Programme allerdings zu entgehen, nutzen die Cyberkriminellen einen scheinbar simplen Trick:

Sie haben das infizierte Word-Dokument mit einem Passwort versehen. Dadurch können die Virenscanner nicht in das Dokument hereinsehen und somit keine Einstufung des Codes als gefährlich oder ungefährlich durchführen.

Halten Sie Ihre Antivirus-Software also in jedem Fall aktuell, damit Patches, die dieses Problem beheben, auch möglichst schnell ihren Bestimmungsort erreichen.

Damit Sie als Empfänger der gefälschten Bewerbungen den Email-Anhang öffnen können, haben die Angreifer das Passwort mit in die Mail geschrieben. Sollten Sie also eine “Bewerbungs-Mail” erhalten, welche im Anhang über ein Dokument mit fragwürdigem Ziffernamen verfügt und Ihnen auch noch ein Passwort zum Öffnen dieses Dokuments im Nachrichtenteil der Email anbietet, dann löschen Sie diese besser direkt. Laden Sie das Dokument nicht herunter und öffnen Sie es auf keinen Fall.

 

Die richtige Vorsorge

Auch bei großer Vorsicht kann es einmal passieren, dass man in einem Moment der Unachtsamkeit einen schädlichen Email-Anhang öffnet. Gerade, wenn es sich dabei um einen Verschlüsselungstrojaner handelt, kann das schwerwiegende Folgen für ein Unternehmen haben. Ohne den Zugriff auf Dateien und Dokumente, die man zum Arbeiten benötigt, steht der Betrieb still. Außerdem besteht bei einem Cyberangriff immer die Gefahr, dass auch Daten abgeflossen sein können. Auf diese Weise gelangen sensible Daten wie Zugangsinformationen und Kundendaten schnell in falsche Hände.

Sind die Dateien “nur” verschlüsselt, dann bieten die Angreifer in der Regel eine Entschlüsselung gegen Zahlung eines Lösegelds an. Für viele Unternehmen scheint das ein simpler Ausweg zu sein, nicht zuletzt auch, weil sie sich dadurch erhoffen, einen erfolgten Angriff geheim halten zu können.

Auf Lösegeldvorderungen sollten Sie aber auf keinen Fall eingehen. Es gibt eine viel einfachere Lösung, die einen Ransomware-Angriff höchstens zu einer Lästigkeit macht:

Backups.

Je häufiger und umfangreicher Sie Ihre Daten sichern lassen, desto geringer ist die Wahrscheinlichkeit, dass bei einem Ransomware-Angriff Daten verloren gehen. Mit Backups können Sie Ihr Systen nämlich einfach in den Zustand zurückversetzen, in welchem es vor dem Angriff war.

Darüber hinaus ist es selbstverständlich unumgänglich, auch einen angemessenen Schutz aus Spam-Filter, richtig konfigurierter Firewall und aktueller Antivirus-Software in einem Unternehmensnetzwerk einzusetzen. Sehr viele Schädlinge kommen so gar nicht erst da an, wo sie Schaden anrichten könnten.

Wir vom Kastl & Rieter IT-Service sind spezialisert auf kleine und mittlere Unternehmen ohne eigene IT-Fachkräfte. Dabei kümmern wir uns nicht nur um die technische Betreuung und Absicherung Ihres Unternehmens, sondern schulen Sie und Ihre Mitarbeiter auch gerne zum Thema Cybersicherheit. Denn nicht jeder Angriffsversuch ist offensichtlich leicht als ein solcher zu erkennen. Durch Aufklärung, Sensibilisierung und Training kann das Risiko, einem Cyberangriff zum Opfer zu Fallen, um ein Vielfaches minimiert werden.

 

Sollten Sie sich also nicht sicher sein, ob Ihre IT tatsächlich sicher ist, dann wenden Sie sich gerne an uns. Wir nehmen Ihnen alle Ihre IT-Sorgen ab, sodass Sie sich voll und ganz auf Ihre Arbeit konzentrieren können.
Und sollte es doch mal zu einem Ernstfall kommen oder bereits zum Ernstfall gekommen sein, dann zögern Sie nicht, uns anzurufen. Mit unserer Soforthilfe stehen wir Ihnen schnellstmöglich zur Seite.

Aber auch bei anderen IT-Anliegen können Sie sich jederzeit an uns wenden.
Sei es Beratung, Support via Fernverwaltung oder gar die Einrichtung eines völlig neuen Netzwerks.
( Und noch viel mehr! )
Wir sind für Sie da
.

 

Rufen Sie uns an unter der 0221 / 630 6151 60 oder schreiben Sie uns eine Nachricht via Kontaktformular.

Sie sind sich noch unschlüssig, ob wir der richtige Partner für Sie sind?
Das sagen unsere Kunden über uns

 

Wir freuen uns auf Sie
Ihr
Kastl & Rieter IT-Service

 

 

Quelle:
https://www.hornetsecurity.com/de/security-informationen/schadliche-bewerbungen-im-umlauf