Firmenlink

ESET

 

Die fiesesten Tricks der Virenschreiber

von Patricia (F-Secure) 28.05.2019

In DOC- und XLSM-Dateien versteckt sich meist TrickBot

Im März beobachtete F-Secure massive Spitzen bei Spam-Kampagnen, bei denen .doc- und .xlsm-Dateien (wieder: Word- und Excel-Dateien) zur Auslieferung der Malware TrickBot verwendet wurden – einem modularen Banktrojaner. Allerdings wurde TrickBot in den neuen Versionen aufgerüstet und stiehlt nun beispielsweise auch Passwörter und mehr.

Der TrickBot-Banktrojaner trifft bevorzugt in Word- oder Excel-Dateien mit Makros ein Der TrickBot-Banktrojaner trifft bevorzugt in Word- oder Excel-Dateien mit Makros ein Zoom© f-secure.com Klicken Sie bei unverlangt per Mail erhaltenen Word- und Excel-Dateien niemals auf etwas wie «Makros aktivieren» oder «Bearbeitung aktivieren» Klicken Sie bei unverlangt per Mail erhaltenen Word- und Excel-Dateien niemals auf etwas wie «Makros aktivieren» oder «Bearbeitung aktivieren» Zoom© f-secure.com

Die oben gezeigten Dateianhänge im Office-Format enthalten ein böswilliges Makro, das die Angriffsdateien mit dem Microsoft-eigenen, ansonsten für harmlose geplante Upload- und Download-Jobs verwendete BITSAdmin-Tool herunterlädt und ausführt.

Der TrickBot-Banktrojaner benutzt das Windows-Bordmittel BITSAdmin, um die Schaddateien nachzuladen und zu starten Der TrickBot-Banktrojaner benutzt das Windows-Bordmittel BITSAdmin, um die Schaddateien nachzuladen und zu starten Zoom© f-secure.com

Nach erfolgreichem Download und der Ausführung startet TrickBot, wie im Beispiel, die Ausführung und erstellt Module auf dem PC des Opfers:

Der TrickBot-Banktrojaner erzeugt die schädlichen Module Der TrickBot-Banktrojaner erzeugt die schädlichen Module Zoom© f-secure.com

Gezielte Phishing-Angriffe mit PDF-Dateien

Die Grafik mit den registrierten Attacken zeigt bei der höchsten Spitze einen Angriff, bei dem PDFs als verseuchter Anhang genutzt wurden. Diese im März ausgeführte Phishing-Kampagne zielte speziell auf Kunden von American Express.

Mit solchen Mails sollten «American Express»-Kunden abgephisht werden Mit solchen Mails sollten «American Express»-Kunden abgephisht werden Zoom© f-secure.com

Sobald die PDF-Datei geöffnet wird, sieht der Nutzer eine Nachricht mit einem Link. Die Nachricht stamme – so behauptet der Text in der Mail – von einem Kundensicherheitsteam der American Express Business Card und soll zu einer «sicheren Nachricht» führen.

Die Mails enthielten eine PDF-Datei mit einem angeblich sicheren Link, der aber auf das Phishing-Portal der Angreifer führte Die Mails enthielten eine PDF-Datei mit einem angeblich sicheren Link, der aber auf das Phishing-Portal der Angreifer führte Zoom© f-secure.com

Der dargestellte Link enthält eine mittels Linkkürzungsdienst verkürzte URL, die das Opfer zu einer gefälschten Webseite beim bekannten Hoster «GoDaddy» führt. Das mit den Linkkürzern ist ein beliebter Trick, der auch bei vielen anderen Phishing-Kampagnen genutzt wird, um an die Bank-Login-Daten der Nutzer zu gelangen. Das untere Beispiel zeigt eine ähnliche Kampagne, die auch eine verkürzte URL als Phishing-Link verwendet, bei der die gefälschte Webseite auf die Nutzer der Bank of America abzielt.

Eine ähnliche (gefälschte) Phishing-Webseite im Design der «Bank of America» hat hier das Ziel, an Login-Daten von BoA-Kunden zu kommen
Eine ähnliche (gefälschte) Phishing-Webseite im Design der «Bank of America» hat hier das Ziel, an Login-Daten von BoA-Kunden zu kommen Zoom© f-secure.com

Nächste Seite: Lotterie-Betrugsversuche mittels PDF – und Google. Ausserdem: Auch Dateitypen .iso und .img werden für Schädlingstransport benutzt

Seite 2 von 3
       
       

    Kommentare

    • donpedro1 28.05.2019, 17.06 Uhr

      Ich komme mir langsam vor, als müsste ich als Computer-Anwender täglich in ein Haifischbecken springen. Und da können all die teuren Virenabwehr-Apps nichts ausrichten? (Ich verwende und bezahle für AVIRA) Man staunt einfach nur, dass offenbar niemand in der Lage ist, diesem teuflischen Irrsinn ein Ende zu setzen. Klar mahnen Sie, dass solche Anhänge nicht geöffnet werden dürfen. Nur - manchmal gehts schnell beim öffnen, oder man übersieht etwas, oder weiss schlicht und einfach nichts davon.[...]

    • Gaby Salvisberg 29.05.2019, 10.28 Uhr

      Hallo donpedro1 Die meisten Virenscanner sollten wohl die meisten solcher Anhänge erkennen und wegfiltern können. Aber eben: Eine 100%-Sicherheit gibt es nicht. Herzliche Grüsse Gaby

    • tamaleus 02.06.2019, 09.59 Uhr

      Geht es nur mir so oder sind diese Grafiken nicht nur von schlechter Qualität, sondern auch derart klein, dass die Legenden, beispielsweise wie die mit der Überschrift "Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen" kaum noch und nicht mal mehr in der Vergrösserung zu lesen? Mit besten Grüssen Tamaleus

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.