News 28.05.2019, 06:00 Uhr

Die fiesesten Tricks der Virenschreiber

Eine Bedrohungsforscherin zeigt, mit welchen Dateitypen und technischen Mitteln die Spammer und Virenschreiber ihre Opfer zum fatalen Klick animieren.
Malware-Autoren bevorzugen in ihren Kampagnen in der Regel bestimmte Arten von Dateianhängen, um schädliche Inhalte zu verbreiten. Während der routinemässigen Überwachung der Bedrohungslandschaft stellte F-Secure in den letzten drei Monaten einige interessante Muster fest zu den in verschiedenen Kampagnen verwendeten, angehängten Dateitypen.
Im Februar und März dieses Jahres beobachtete das Lab riesige Spam-Kampagnen, in denen .zip-Dateien zum Versenden von GandCrab-Ransomware und .doc- und .xlsm-Dateien (also Word- und Excel-Dateien) zum Verteilen von TrickBot-Banking-Trojanern verwendet wurden. Im selben Zeitraum gab es eine ähnlich grosse Kampagne für Phishing gegen American-Express-Kunden und einen «Gewinner»-Betrug. Beide verwendeten PDFs als Dateianhänge.
Aktuell gibt es auch einen neuen Trend bei der Verbreitung von Malware in Form von Disc-Image-Dateien (.iso und .img). Einige kleine Kampagnen vertreiben so den AgentTesla InfoStealer und NanoCore RAT. Aufgezeichnete Spam-Feeds zeigen, dass Malware-Autoren eine Vielzahl von Dateitypen als Anhang verwenden, um Hintergrundinformationen oder Kontextinformationen bereitzustellen:
Anteil der in Schädlingsmails verwendeter Dateitypen
Betrachtet man die Feeds jedoch als Zeitdiagramm, wird deutlich, dass .zip-, PDF- und MS-Office-Dateien, wie .doc- und .xlsm-Dateianhänge, häufiger in umfangreichen Spam-Kampagnen verwendet wurden.
Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen

.zip-Dateien beinhalten meist GandCrab-Ransomware

Im Februar und März registrierte F-Secure besonders grosse Spam-Kampagnen mit ZIP-Dateien, in denen sich GandCrab-Ransomware versteckte. Die Dateien wurden in Sachen Dateinamen so getarnt, dass sie aussehen, als würden nur harmlose Fotos verschickt.
In solchen Mails mit Zip-Anhang traf die GandCrab-Ransomware ein. Die Dateinamen waren so gestaltet, dass man darin Bilder vermuten könnte
Die .zip-Datei enthält allerdings einen versteckten JavaScript-Downloader, der ein PowerShell-Skript ausführt, mit dem dann im zweiten Schritt die GandCrab-Ransomware-Binärdatei heruntergeladen und ausgeführt wird.
So sah das JavaScript-Element aus, welches den eigentlichen Schädlingsteil aus dem Internet nachladen konnte
Nachdem das eigentliche Schädlingsprogramm (Fachbegriff: Payload) erfolgreich heruntergeladen und ausgeführt wurde, verschlüsselt jenes den Computer des Opfers und zeigt folgende Ransomware-Notiz an:
Eine solche Erpressernotiz bekommen Opfer des Erpressungstrojaners GandCrab zu sehen
Nächste Seite: In .doc- und .xlsm-Dateien steckt meist der TrickBot-Banktrojaner
Seite 1/3
Auf einer Seite lesen
  1. Die fiesesten Tricks der Virenschreiber
  2. In .doc- und .xlsm-Dateien steckt meist ...
  3. Lotterie-Betrugsversuche mittels PDF – und ...
Artikel drucken
Kommentare
Avatar
Gaby Salvisberg
29.05.2019
Hallo donpedro1 Die meisten Virenscanner sollten wohl die meisten solcher Anhänge erkennen und wegfiltern können. Aber eben: Eine 100%-Sicherheit gibt es nicht. Herzliche Grüsse Gaby
Avatar
tamaleus
02.06.2019
Kleingedrucktes Geht es nur mir so oder sind diese Grafiken nicht nur von schlechter Qualität, sondern auch derart klein, dass die Legenden, beispielsweise wie die mit der Überschrift "Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen" kaum noch und nicht mal mehr in der Vergrösserung zu lesen? Mit besten Grüssen Tamaleus
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.