Die fiesesten Tricks der Virenschreiber

Lotterie-Betrugsversuche mittels PDF – und ...

Betrugsversuche per PDF mit der «Google-Gewinner»-Lüge

Die am zweitstärksten registrierte Betrugs-Kampagne, bei der ein PDF-Dateianhang verwendet wurde, ist ein «Lotteriegewinn»-Betrug mit Google als vermeintlichem Absender:
Auch Googles Name und Logo wird für Betrügereien missbraucht: Hier eine PDF-Datei, in der fürs Abholen eines angeblichen Lotteriegewinns vielerlei persönliche Daten fällig gewesen wären
Das Fake-Gewinnerschreiben fordert das Opfer auf, personenbezogene Daten anzugeben, wie vollständigen Namen, Adresse, Land, Nationalität, Telefonnummer, Handynummer, Beruf, Alter, Geschlecht und private E-Mail-Adresse. Solche Daten sind für den Angreifer Gold wert, denn damit kann der Kriminelle künftige Betrugs-, Phishing- und Schädlings-Mails an das Opfer noch persönlicher gestalten. Das erhöht die Chancen, dass das Opfer (erneut) darauf hereinfällt.

Die «Neuen» in der Inbox: .iso- und .img-Dateien

.iso- und .img-Dateien, bekannt als Abbild-Dateien von CDs und DVDs, sind bei Spam-Kampagnen noch nicht als verwendete Dateitypen in der Spitzengruppe zu finden. Allerdings registriert F-Secure seit Juli 2018 einen gewissen Trend beim Einsatz dieser Dateitypen als Malware-Transportmittel. Bei den meisten bekannten Kampagnen, die solche Dateiformate mit sich führten, wurden die Angreifer AgentTesla InfoStealer und NanoCore RAT eingesetzt.
In letzter Zeit sind sogar Image-Dateien (.iso und .img) benutzt worden, die sonst als Datenträger-Abbilder verwendet werden
In einer erst vor Kurzem aufgespürten Spam-Kampagne hat F-Secures Lab zwei Arten von Anhängen gesichtet: Ein böswilliges Office-Dokument und eine ISO-Image-Datei – beide installieren einen AgentTesla-Infostealer.
In dieser Mail lässt der Angreifer dem Nutzer die «Wahl», ob er den Schädling aus einer Word- oder .iso-Datei installieren will (Tipp: lieber gar nicht; solche Anhänge nicht öffnen!)
Das böswillige Dokument führt nach dem Öffnen ein Makro aus, um die eigentlich schädlichen Komponenten (in der Fachsprache als «Payload» bezeichnet) herunterzuladen und auszuführen.
Das Makro im Word-Dokument lädt den eigentlichen Schadcode (den «AgentTesla»-Infostealer) aus dem Netz und führt ihn aus
Die .iso-Datei enthält eine ausführbare Binärdatei, die ebenfalls den AgentTesla-Infostealer installiert
Während die ISO-Datei die schädliche Binärdatei enthält. Unabhängig davon, welchen der beiden angehängten Dateitypen ein Opfer öffnet: Es wird immer die Schad-Software AgentTesla installiert. Das ist ein Infostealer, der in der Lage ist, die System- und Anmeldeinformationen des Opfers von gängiger, installierter Software wie Browsern, E-Mail-Clients und FTP-Clients zu erfassen und zu übertragen.
Über die Autorin: Patricia ist Bedrohungsforscherin im Virenlabor des finnischen Antivirenherstellers F-Secure. Dort hat sie viele Zahlen, technische Details und Screenshots darüber zusammengetragen, mit welchen Tricks und Dateitypen die Schädlingsverbreiter und Online-Erpresser derzeit arbeiten. In ihrem Blog-Beitrag, den wir mit freundlicher Genehmigung F-Secures übernehmen dürfen, macht sie uns viele der spannenden Erkenntnisse zugänglich.
Seite 3/3
Auf einer Seite lesen
  1. Die fiesesten Tricks der Virenschreiber
  2. In .doc- und .xlsm-Dateien steckt meist ...
  3. Lotterie-Betrugsversuche mittels PDF – und ...
Artikel drucken
Kommentare
Avatar
Gaby Salvisberg
29.05.2019
Hallo donpedro1 Die meisten Virenscanner sollten wohl die meisten solcher Anhänge erkennen und wegfiltern können. Aber eben: Eine 100%-Sicherheit gibt es nicht. Herzliche Grüsse Gaby
Avatar
tamaleus
02.06.2019
Kleingedrucktes Geht es nur mir so oder sind diese Grafiken nicht nur von schlechter Qualität, sondern auch derart klein, dass die Legenden, beispielsweise wie die mit der Überschrift "Zeitliche Verteilung der verschiedenen als Schädlingsträger verwendeten Dateitypen" kaum noch und nicht mal mehr in der Vergrösserung zu lesen? Mit besten Grüssen Tamaleus
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.