Die fiesesten Tricks der Virenschreiber

In .doc- und .xlsm-Dateien steckt meist ...

In DOC- und XLSM-Dateien versteckt sich meist TrickBot

Im März beobachtete F-Secure massive Spitzen bei Spam-Kampagnen, bei denen .doc- und .xlsm-Dateien (wieder: Word- und Excel-Dateien) zur Auslieferung der Malware TrickBot verwendet wurden – einem modularen Banktrojaner. Allerdings wurde TrickBot in den neuen Versionen aufgerüstet und stiehlt nun beispielsweise auch Passwörter und mehr.
Der TrickBot-Banktrojaner trifft bevorzugt in Word- oder Excel-Dateien mit Makros ein
Klicken Sie bei unverlangt per Mail erhaltenen Word- und Excel-Dateien niemals auf etwas wie «Makros aktivieren» oder «Bearbeitung aktivieren»
Die oben gezeigten Dateianhänge im Office-Format enthalten ein böswilliges Makro, das die Angriffsdateien mit dem Microsoft-eigenen, ansonsten für harmlose geplante Upload- und Download-Jobs verwendete BITSAdmin-Tool herunterlädt und ausführt.
Der TrickBot-Banktrojaner benutzt das Windows-Bordmittel BITSAdmin, um die Schaddateien nachzuladen und zu starten
Nach erfolgreichem Download und der Ausführung startet TrickBot, wie im Beispiel, die Ausführung und erstellt Module auf dem PC des Opfers:
Der TrickBot-Banktrojaner erzeugt die schädlichen Module

Gezielte Phishing-Angriffe mit PDF-Dateien

Die Grafik mit den registrierten Attacken zeigt bei der höchsten Spitze einen Angriff, bei dem PDFs als verseuchter Anhang genutzt wurden. Diese im März ausgeführte Phishing-Kampagne zielte speziell auf Kunden von American Express.
Mit solchen Mails sollten «American Express»-Kunden abgephisht werden
Sobald die PDF-Datei geöffnet wird, sieht der Nutzer eine Nachricht mit einem Link. Die Nachricht stamme – so behauptet der Text in der Mail – von einem Kundensicherheitsteam der American Express Business Card und soll zu einer «sicheren Nachricht» führen.
Die Mails enthielten eine PDF-Datei mit einem angeblich sicheren Link, der aber auf das Phishing-Portal der Angreifer führte
Der dargestellte Link enthält eine mittels Linkkürzungsdienst verkürzte URL, die das Opfer zu einer gefälschten Webseite beim bekannten Hoster «GoDaddy» führt. Das mit den Linkkürzern ist ein beliebter Trick, der auch bei vielen anderen Phishing-Kampagnen genutzt wird, um an die Bank-Login-Daten der Nutzer zu gelangen. Das untere Beispiel zeigt eine ähnliche Kampagne, die auch eine verkürzte URL als Phishing-Link verwendet, bei der die gefälschte Webseite auf die Nutzer der Bank of America abzielt.
Eine ähnliche (gefälschte) Phishing-Webseite im Design der «Bank of America» hat hier das Ziel, an Login-Daten von BoA-Kunden zu kommen
Nächste Seite: Lotterie-Betrugsversuche mittels PDF – und Google. Ausserdem: Auch Dateitypen .iso und .img werden für Schädlingstransport benutzt
Seite 2/3
Auf einer Seite lesen
  1. Die fiesesten Tricks der Virenschreiber
  2. In .doc- und .xlsm-Dateien steckt meist ...
  3. Lotterie-Betrugsversuche mittels PDF – und ...
Artikel drucken
Kommentare
Avatar
Gaby Salvisberg
29.05.2019
Hallo donpedro1 Die meisten Virenscanner sollten wohl die meisten solcher Anhänge erkennen und wegfiltern können. Aber eben: Eine 100%-Sicherheit gibt es nicht. Herzliche Grüsse Gaby
Avatar
tamaleus
02.06.2019
Kleingedrucktes Geht es nur mir so oder sind diese Grafiken nicht nur von schlechter Qualität, sondern auch derart klein, dass die Legenden, beispielsweise wie die mit der Überschrift "Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen" kaum noch und nicht mal mehr in der Vergrösserung zu lesen? Mit besten Grüssen Tamaleus
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.