Die fiesesten Tricks der Virenschreiber

von Patricia (F-Secure) 28.05.2019

Betrugsversuche per PDF mit der «Google-Gewinner»-Lüge

Die am zweitstärksten registrierte Betrugs-Kampagne, bei der ein PDF-Dateianhang verwendet wurde, ist ein «Lotteriegewinn»-Betrug mit Google als vermeintlichem Absender:

Auch Googles Name und Logo wird für Betrügereien missbraucht: Hier eine PDF-Datei, in der fürs Abholen eines angeblichen Lotteriegewinns vielerlei persönliche Daten fällig gewesen wären Auch Googles Name und Logo wird für Betrügereien missbraucht: Hier eine PDF-Datei, in der fürs Abholen eines angeblichen Lotteriegewinns vielerlei persönliche Daten fällig gewesen wären Zoom© f-secure.com

Das Fake-Gewinnerschreiben fordert das Opfer auf, personenbezogene Daten anzugeben, wie vollständigen Namen, Adresse, Land, Nationalität, Telefonnummer, Handynummer, Beruf, Alter, Geschlecht und private E-Mail-Adresse. Solche Daten sind für den Angreifer Gold wert, denn damit kann der Kriminelle künftige Betrugs-, Phishing- und Schädlings-Mails an das Opfer noch persönlicher gestalten. Das erhöht die Chancen, dass das Opfer (erneut) darauf hereinfällt.

Die «Neuen» in der Inbox: .iso- und .img-Dateien

.iso- und .img-Dateien, bekannt als Abbild-Dateien von CDs und DVDs, sind bei Spam-Kampagnen noch nicht als verwendete Dateitypen in der Spitzengruppe zu finden. Allerdings registriert F-Secure seit Juli 2018 einen gewissen Trend beim Einsatz dieser Dateitypen als Malware-Transportmittel. Bei den meisten bekannten Kampagnen, die solche Dateiformate mit sich führten, wurden die Angreifer AgentTesla InfoStealer und NanoCore RAT eingesetzt.

In letzter Zeit sind sogar Image-Dateien (.iso und .img) benutzt worden, die sonst als Datenträger-Abbilder verwendet werden In letzter Zeit sind sogar Image-Dateien (.iso und .img) benutzt worden, die sonst als Datenträger-Abbilder verwendet werden Zoom© f-secure.com

In einer erst vor Kurzem aufgespürten Spam-Kampagne hat F-Secures Lab zwei Arten von Anhängen gesichtet: Ein böswilliges Office-Dokument und eine ISO-Image-Datei – beide installieren einen AgentTesla-Infostealer.

In dieser Mail lässt der Angreifer dem Nutzer die «Wahl», ob er den Schädling aus einer Word- oder .iso-Datei installieren will (Tipp: lieber gar nicht; solche Anhänge nicht öffnen!) In dieser Mail lässt der Angreifer dem Nutzer die «Wahl», ob er den Schädling aus einer Word- oder .iso-Datei installieren will (Tipp: lieber gar nicht; solche Anhänge nicht öffnen!) Zoom© f-secure.com

Das böswillige Dokument führt nach dem Öffnen ein Makro aus, um die eigentlich schädlichen Komponenten (in der Fachsprache als «Payload» bezeichnet) herunterzuladen und auszuführen.

Das Makro im Word-Dokument lädt den eigentlichen Schadcode (den «AgentTesla»-Infostealer) aus dem Netz und führt ihn aus Das Makro im Word-Dokument lädt den eigentlichen Schadcode (den «AgentTesla»-Infostealer) aus dem Netz und führt ihn aus Zoom© f-secure.com Die .iso-Datei enthält eine ausführbare Binärdatei, die ebenfalls den AgentTesla-Infostealer installiert Die .iso-Datei enthält eine ausführbare Binärdatei, die ebenfalls den AgentTesla-Infostealer installiert Zoom Während die ISO-Datei die schädliche Binärdatei enthält. Unabhängig davon, welchen der beiden angehängten Dateitypen ein Opfer öffnet: Es wird immer die Schad-Software AgentTesla installiert. Das ist ein Infostealer, der in der Lage ist, die System- und Anmeldeinformationen des Opfers von gängiger, installierter Software wie Browsern, E-Mail-Clients und FTP-Clients zu erfassen und zu übertragen.

Patricia (F-Secure)Über die Autorin: Patricia ist Bedrohungsforscherin im Virenlabor des finnischen Antivirenherstellers F-Secure. Dort hat sie viele Zahlen, technische Details und Screenshots darüber zusammengetragen, mit welchen Tricks und Dateitypen die Schädlingsverbreiter und Online-Erpresser derzeit arbeiten. In ihrem Blog-Beitrag, den wir mit freundlicher Genehmigung F-Secures übernehmen dürfen, macht sie uns viele der spannenden Erkenntnisse zugänglich.

Seite 3 von 3

    Kommentare

    • donpedro1 28.05.2019, 17.06 Uhr

      Ich komme mir langsam vor, als müsste ich als Computer-Anwender täglich in ein Haifischbecken springen. Und da können all die teuren Virenabwehr-Apps nichts ausrichten? (Ich verwende und bezahle für AVIRA) Man staunt einfach nur, dass offenbar niemand in der Lage ist, diesem teuflischen Irrsinn ein Ende zu setzen. Klar mahnen Sie, dass solche Anhänge nicht geöffnet werden dürfen. Nur - manchmal gehts schnell beim öffnen, oder man übersieht etwas, oder weiss schlicht und einfach nichts davon.[...]

    • Gaby Salvisberg 29.05.2019, 10.28 Uhr

      Hallo donpedro1 Die meisten Virenscanner sollten wohl die meisten solcher Anhänge erkennen und wegfiltern können. Aber eben: Eine 100%-Sicherheit gibt es nicht. Herzliche Grüsse Gaby

    • tamaleus 02.06.2019, 09.59 Uhr

      Geht es nur mir so oder sind diese Grafiken nicht nur von schlechter Qualität, sondern auch derart klein, dass die Legenden, beispielsweise wie die mit der Überschrift "Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen" kaum noch und nicht mal mehr in der Vergrösserung zu lesen? Mit besten Grüssen Tamaleus

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.