Trojaner: Achtung bei angeblichen Rechnungen

Vetrauenswürdiger Absender, glaubhafter Text in gutem Deutsch – und trotzdem handelt es sich bei der angehängten Rechnung um einen Trojaner.

Derzeit spült es wieder in großem Umfang gefälschte Rechnungen in die Mail-Postfächer. Die Mails stammen oft scheinbar von Kollegen, Geschäftspartnern und auch von angeblichen Telekom-Rechnungen berichten Leser. Sie sind in gutem Deutsch verfasst und erzählen Geschichten von Rechnungskorrekturen oder -reklamationen wegen falscher Mehrwertsteuer. Und alle haben gemeinsam, dass sie als Anhang eine DOC-Datei enthalten, die versucht, das System mit Schad-Software zu infizieren.

Die DOC-Datei enthält Makros, deren Aktivierung durch einen Trick versucht wird. Angeblich handelt es sich um ein Dokument, das in der Online-Version „Office 365“ erstellt wurde. Um es anzusehen, müsse man „Enable content“ klicken. Wer das tut, aktiviert ein Makro, das im Hintergrund via Powershell Schad-Software aus dem Internet nachlädt und startet. In einem von heise Security analysierten Fall war das die auf Passwort-Diebstahl und Online-Banking-Betrug spezialisierte Malware Emotet.

Antiviren-Software schützt derzeit nicht ausreichend vor dieser Gefahr. Zumindest die statische Erkennungsquote der Scanner bei Virustotal ist erschreckend niedrig; viele bekannte AV-Programme erklären die DOC-Datei und auch die nachgeladenen Malware-Programme für sauber. Darauf, dass der Wächter beim Öffnen des Dokuments trotzdem aktiv wird und eine Infektion verhindert, sollte man sich lieber nicht verlassen.

Am besten schützt man sich, indem man keine Office-Dateien öffnet, die einen via Mail erreichen. Und auf gar keinen Fall sollte man der Aktivierung der Makros zustimmen – auch wenn es noch so plausibel erscheint. Oft klärt auch schon ein kurzer Rückruf bei Kollegen, dass dieser nichts von der angeblich von ihm stammenden Mail weiß.

Vorsicht! Neue betrügerische Bewerbungsmail mit Erpressungstrojaner im Umlauf

Derzeit kursiert eine gefakte Bewerbung von „Peter Reif“ im Internet. Nach dem Öffnen des Dateianhangs verschlüsselt ein Schädling Daten und fordert Lösegeld.

Wer dieser Tage eine E-Mail mit dem Betreff „Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif“ erhält, sollte die Mail umgehend löschen und den Dateianhang unter keinen Umständen öffnen. Berichten zufolge variiert der Namen in den Mails und es gibt auch Versionen mit beispielsweise „Peter Schnell“, „Caroline Schneider“ und „Viktoria Henschel“.

Der Empfang der Mail und das Entpacken des Archivs löst nach jetzigem Kenntnisstand noch keine Infektion aus. Erst wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Dem Online Analysedienst Virustotal zufolge handelt es sich dabei um die Ransomware GandCrab 5.0.4.

Bruce Schneier warnt vor mysteriösen DDoS-Angriffen auf Netzinfrastruktur

Der renommierte Sicherheits-Experte Bruce Schneier sieht Indizien, dass Nationalstaaten begonnen haben, ihre „Cyberwaffen“ an kritischer Netzinfrastruktur zu testen.

Mit gezielten Angriffen tasten seit rund zwei Jahren einer oder mehrere Staaten kritische Netzinfrastruktur nach Schwachstellen ab, warnt Security-Experte Bruce Schneier. Seinem Befund nach wird seit etwa zwei Jahren über sehr große Distributed-Denial-of-Service-Attacken (DDoS) die Defensivstärke von Betreibern der Internetsysteme geradezu vermessen. Dass es sich nicht mehr um klassisch-kriminelle oder aktivistisch-motivierte Attacken handelt, schließt Schneier aus der Art der Ziele, der Mächtigkeit der Angriffe und ihrer Struktur.

„In der ersten Woche startet der Angriff mit einer bestimmten Stärke, wird langsam gesteigert und dann abgebrochen. In der nächsten Woche geht es mit größerer Intensität los. Und so weiter.“ Zudem werden dabei auch häufig mehrere Angriffstechniken zum Teil in Kombination genutzt, genauso als suche jemand nach Stellen im System, wo die Abwehr am schwächsten ist. Mit im Visier: Schwachstellen im Routing.

Das Abtasten zentraler Infrastrukturen deutet laut Schneier auf Geheimdienste und mehr noch die neu entstandenen militärischen Cybercommands hin. Das wirke, so Schneier, wie das Kartieren sowjetischer Flugabwehrsysteme durchs US-Militär im Kalten Krieg. Zwar wisse vielleicht am Ende nur die National Security Agency genau, wer dahinter stecke, mutmaßt Schneier, aber er zeigt mit dem Finger doch Richtung Osten, nach China oder Russland.

Friendly Fire?

Geoff Huston, Chefwissenschaftler bei der für Asien und den pazifischen Raum zuständigen IP-Adressverwalterin APNIC, stimmt Schneier in einem Punkt zu: Angriffe auf die Infrastruktur seien inzwischen so groß, dass zumindest für einen Teil staatliche Akteure verantwortlich sein müssen. In der Hitliste, welche Staaten dafür in Frage kommen, steht aber für den Australier neben den USA an erster Stelle und China an zweiter auch Frankreich, und „vielleicht auch Deutschland oder Großbritannien“.

Die Testattacken könnten dabei, so meint er, neben den aggressiven Motiven durchaus auch der wohlmeinenden Aufdeckung von Schwächen geschuldet sein. „Es ist sicher verlockend, all diese Testattacken ‚denen‘ in die Schuhe zu schieben“, so Huston gegenüber heise online. Seine zentrale Kritik lautet vor allem, mit der gängigen Heimlichtuerei spielten Opfer und Security-Berater den Angreifern aller Art in die Hände.