Firmenlink

ESET

 

Die fiesesten Tricks der Virenschreiber

Eine Bedrohungsforscherin zeigt, mit welchen Dateitypen und technischen Mitteln die Spammer und Virenschreiber ihre Opfer zum fatalen Klick animieren.

von Patricia (F-Secure) 28.05.2019

Malware-Autoren bevorzugen in ihren Kampagnen in der Regel bestimmte Arten von Dateianhängen, um schädliche Inhalte zu verbreiten. Während der routinemässigen Überwachung der Bedrohungslandschaft stellte F-Secure in den letzten drei Monaten einige interessante Muster fest zu den in verschiedenen Kampagnen verwendeten, angehängten Dateitypen.

Im Februar und März dieses Jahres beobachtete das Lab riesige Spam-Kampagnen, in denen .zip-Dateien zum Versenden von GandCrab-Ransomware und .doc- und .xlsm-Dateien (also Word- und Excel-Dateien) zum Verteilen von TrickBot-Banking-Trojanern verwendet wurden. Im selben Zeitraum gab es eine ähnlich grosse Kampagne für Phishing gegen American-Express-Kunden und einen «Gewinner»-Betrug. Beide verwendeten PDFs als Dateianhänge.

Aktuell gibt es auch einen neuen Trend bei der Verbreitung von Malware in Form von Disc-Image-Dateien (.iso und .img). Einige kleine Kampagnen vertreiben so den AgentTesla InfoStealer und NanoCore RAT. Aufgezeichnete Spam-Feeds zeigen, dass Malware-Autoren eine Vielzahl von Dateitypen als Anhang verwenden, um Hintergrundinformationen oder Kontextinformationen bereitzustellen:

Anteil der in Schädlingsmails verwendeter Dateitypen Anteil der in Schädlingsmails verwendeter Dateitypen Zoom© f-secure.com

Betrachtet man die Feeds jedoch als Zeitdiagramm, wird deutlich, dass .zip-, PDF- und MS-Office-Dateien, wie .doc- und .xlsm-Dateianhänge, häufiger in umfangreichen Spam-Kampagnen verwendet wurden.

Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen Zoom© f-secure.com

.zip-Dateien beinhalten meist GandCrab-Ransomware

Im Februar und März registrierte F-Secure besonders grosse Spam-Kampagnen mit ZIP-Dateien, in denen sich GandCrab-Ransomware versteckte. Die Dateien wurden in Sachen Dateinamen so getarnt, dass sie aussehen, als würden nur harmlose Fotos verschickt.

In solchen Mails mit Zip-Anhang traf die GandCrab-Ransomware ein. Die Dateinamen waren so gestaltet, dass man darin Bilder vermuten könnte In solchen Mails mit Zip-Anhang traf die GandCrab-Ransomware ein. Die Dateinamen waren so gestaltet, dass man darin Bilder vermuten könnte Zoom© f-secure.com

Die .zip-Datei enthält allerdings einen versteckten JavaScript-Downloader, der ein PowerShell-Skript ausführt, mit dem dann im zweiten Schritt die GandCrab-Ransomware-Binärdatei heruntergeladen und ausgeführt wird.

So sah das JavaScript-Element aus, welches den eigentlichen Schädlingsteil aus dem Internet nachladen konnte So sah das JavaScript-Element aus, welches den eigentlichen Schädlingsteil aus dem Internet nachladen konnte Zoom© f-secure.com

Nachdem das eigentliche Schädlingsprogramm (Fachbegriff: Payload) erfolgreich heruntergeladen und ausgeführt wurde, verschlüsselt jenes den Computer des Opfers und zeigt folgende Ransomware-Notiz an:

Eine solche Erpressernotiz bekommen Opfer des Erpressungstrojaners GandCrab zu sehen Eine solche Erpressernotiz bekommen Opfer des Erpressungstrojaners GandCrab zu sehen Zoom© f-secure.com

Nächste Seite: In .doc- und .xlsm-Dateien steckt meist der TrickBot-Banktrojaner

Seite 1 von 3
       
       

    Kommentare

    • donpedro1 28.05.2019, 17.06 Uhr

      Ich komme mir langsam vor, als müsste ich als Computer-Anwender täglich in ein Haifischbecken springen. Und da können all die teuren Virenabwehr-Apps nichts ausrichten? (Ich verwende und bezahle für AVIRA) Man staunt einfach nur, dass offenbar niemand in der Lage ist, diesem teuflischen Irrsinn ein Ende zu setzen. Klar mahnen Sie, dass solche Anhänge nicht geöffnet werden dürfen. Nur - manchmal gehts schnell beim öffnen, oder man übersieht etwas, oder weiss schlicht und einfach nichts davon.[...]

    • Gaby Salvisberg 29.05.2019, 10.28 Uhr

      Hallo donpedro1 Die meisten Virenscanner sollten wohl die meisten solcher Anhänge erkennen und wegfiltern können. Aber eben: Eine 100%-Sicherheit gibt es nicht. Herzliche Grüsse Gaby

    • tamaleus 02.06.2019, 09.59 Uhr

      Geht es nur mir so oder sind diese Grafiken nicht nur von schlechter Qualität, sondern auch derart klein, dass die Legenden, beispielsweise wie die mit der Überschrift "Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen" kaum noch und nicht mal mehr in der Vergrösserung zu lesen? Mit besten Grüssen Tamaleus

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.