Job Center nach Adressen für Malware-Angriffe durchsucht

Die Kundin fügte eine neue Stellenbeschreibung für ihre Firma auf das Portal des deutschen Job Centers. Einige Tage später erhielt sie die folgende Bewerbungs-Email über das Job Center.

email

„Ich war mich nicht ganz sicher, ob ich dem Absender trauen kann“, teilte sie uns mit. Aus diesem Grund entschied sie sich dazu, sich an das Avira VirusLab zu wenden.

Wir glauben, dass die Cyberkriminellen Crawler durch das Portal schicken, um so die Emailadressen zu sammeln, die von den Nutzern eingeben wurden. Diese Daten werden dann genutzt, um personalisierte Emails, wie die die wir erhalten haben, zu verschicken. Ohne eine direkte Analyse der Seite ist es uns leider nicht möglich, noch mehr Details diesbezüglich herauszufinden.

Die Analyse bestätigte, dass die Zweifel der Avira-Kundin begründet waren. Wenn man der Dropbox-URL am Ende der Mail folgt, wird man auf eine Seite weitergeleitet, auf der die Malware bereits auf den nichts ahnenden Nutzer wartet.

dropbox

Die Datei, die den Namen ‚Bewerbung.PDF.exe‘ trägt, versteckt sich hinter einem falschen Archiv-Icon. Sie soll die Opfer glauben machen, dass die Bewerbung als PDF-Dokument erstellt wurde, welches sich nun in einem Archiv befindet. Das macht durchaus Sinn: Viele Bewerbungen werden heutzutage als Archiv an Personalabteilungen verschickt.

Allein die Dateiendung *exe sollte schon alle Alarmglocken der Nutzer klingeln lassen und darauf hinweisen, dass es sich nicht um eine echte Bewerbung handeln kann.

Sobald sie ausgeführt wurde, ist sehr schnell zu erkennen, dass es sich um Ransomware handelt.

lock

Diese Art der Malware verschlüsselt alle persönlichen Daten auf dem Computer. Der generierte private PGP-Schlüssel, wird auf dem Command and Control-Sever, der zur Ransomware gehört, gespeichert. Das macht ein Entschlüsseln der Dateien so gut wie unmöglich; der Verschlüsselungsalgorithmus ist zu stark, um ihn ohne den privaten Schlüssel zu knacken.

Die Nutzer werden also eine Lösegeldforderung von den Cyberkriminellen erhalten, in denen sie wahrscheinlich aufgefordert werden, Bitcoins zu zahlen, damit die Daten wieder entschlüsselt werden. Das besondere an dieser Ransomware ist, dass die Opfer damit rechnen müssen, dass ihre privaten Daten zusätzlich dazu auch noch an die Öffentlichkeit gelangen, wenn sie das Lösegeld nicht zahlen. Übrigens: Erst letzte Woche hat das FBI empfohlen, derartigen Lösegeldforderungen nachzukommen. Wir bei Avira, können diesen Ratschlag als Sicherheitsfirma nicht unterstützen.

Ich habe vor kurzem einen interessanten Artikel zum Thema Evolution von Ransomware geschrieben. Wenn Sie mehr über dieses Thema erfahren wollen, können Sie ihn hier finden: http://www.chip.de/artikel/BKA-Trojaner-Bundestrojaner-Co.-Das-ist-Ransomware-und-das-koennen-Sie-tun_84088225.html

Was kann ich Ihnen raten?

  • Öffnen Sie niemals Anhänge aus Mails, deren Absender sie nicht kennen.
  • Laden Sie nur Dateien von Seiten herunter, denen Sie vertrauen.
  • Erstellen Sie regelmäßig Backups von Ihrem PC.
  • Aktualisieren Sie Ihr Betriebssystem und Ihre Programme regelmäßig.
  • Stellen Sie sicher, die neuste Version von Avira auf Ihrem PC zu haben und aktualisieren Sie sie regelmäßig.

Was können wir tun?
Wir schützen Sie! Das bedeutet, dass wir in diesem Fall unsere Kundin dank der Avira Protection Cloud schützen konnten. Wir haben zudem ein intelligentes Echtzeit-Klassifikationssystem, dass es uns ermöglicht das Erkennungsmuster direkt an die Kunden weiterzugeben.

Dieser Artikel ist auch verfügbar in: EnglischItalienisch

Team Leader Virus Lab Disinfection Service