Suche
Close this search box.

Schädliche Bewerbungen im Umlauf!

Getarnt als professionell gestaltete Bewerbungsmail mit verschlüsseltem Anhang verbreitet sich grade ein noch nicht identfizierter Virus. Das meldetet das Hornetsecurity Security Lab.

Advertisement

Achten Sie auf E-Mails mit dem Betreff “Bewerbung auf Ihre Stellenausschreibung” oder “Bewerbung auf die aktuelle Jobausschreibung” und einem Anhang, welcher verschlüsselt ist. Zum Öffnen des Dokuments wird ein Passwort im Anschreiben der E-Mail mitgesendet. Durch die verschlüsselte .pdf, .doc oder zip-Datei versuchen Cyberkriminelle lokale Virenscanner zu umgehen, da der enthaltene Schadcode dadurch “versteckt” wird. Mit der Entschlüsselung des Anhangs wird jedoch der Virus nachgeladen und infiziert das Computersystem.

Um Vertrauen bei dem Empfänger dieser E-Mail zu wecken, wird oftmals noch ein Bewerberbild in guter Qualität beigefügt und auf die Website des Unternehmens verwiesen, auf der der angebliche Bewerber die Stellenausschreibung gefunden hat.

Advertisement

Das Hornetsecurity Security Lab ist derzeit noch dabei herauszufinden, um welche Malware es sich hierbei genau handelt.

Advertisement

Zusammenfassung der Eckdaten der schadhaften E-Mail:
-Anschreiben ist in gutem Deutsch verfasst, mit professionell wirkenden Details des “Bewerbers”
-Der Anhang enthält ein verschlüsseltes Dokument im .pdf, .doc oder zip Format
-Das Passwort zum entschlüsseln des Anhangs wird ebenfalls in derselben E-Mail mitgesendet
-Die sprachliche Ausdrucksweise variiert zu der unten angezeigten Beispielmail

IoCs – SHA256:
d17646f0eb60e8844959480ef9a57eb38efc8cd55775d5585510d4df4cde29b7 (application/msword)
93e5705c467d4b92a2a1dde1c1216472e127787b58feb45804b83087b68125ad (application/msword)

Beispiel einer aktuellen Schad-E-Mail

+++UPDATE – 10.05.+++

Wie die Sicherheitsforscher vom Hornetsecurity Security Lab nun herausfanden, handelt es sich bei der verbreitenden Malware um eine neue Gandcrab Kampagne. Bereits im Januar diesen Jahres und Herbst 2018 beobachteten Security-Experten ein erhöhtes Aufkommen dieser Malware-Art. Das perfide an der Spam-Welle ist jedoch das verschlüsselte Dokument, welches die GandCrab Ransomware herunterlädt. Die Verschlüsselung hebelt klassische Überprüfungen vom Makro Code aus, da eine statische Analyse des Dokuments nicht möglich ist. So konnte die verschlüsselte Datei von keinem klassischen Anti-Virus Programm erkannt werden.

Sobald der Empfänger das angehängte Dokument öffnet und entschlüsselt, wird der Benutzer aufgefordert, auf die Schaltflächen „Bearbeitung aktivieren“ und „Inhalt aktivieren“ zu klicken. Tut man dies, startet das im Office Dokument vorliegende Makro ein verstecktes Terminal und führt PowerShell Kommandos aus, um die GandCrab Ransomware aus dem Internet herunterzuladen und auszuführen.

Anschließend verschlüsselt die GandCrab Ransomware sämtliche Daten auf dem infizierten Rechner und ersetzt den Desktop Hintergrund mit einer Forderungsnachricht.

Quelle: https://www.hornetsecurity.com/de/security-informationen/schadliche-bewerbungen-im-umlauf
Author: Hannah Kreyenberg

Bewerten Sie diesen Beitrag:
[Gesamt: 1 Durchschnitt: 5]
Advertisement

Share:

Facebook
Twitter
LinkedIn
Telegram
WhatsApp
Email
Print

Das könnte Sie auch interessieren:

Microsoft Defender macht es leicht
Bedrohung

Microsoft Defender macht es leicht

Microsoft Defender macht es leicht – Der Virenschutz von Microsoft erleichtert das Einnisten von Schädlingen. Durch eine kleine Schwachstelle bei Zugriffsrechten des Microsoft Defender können

Weiterlesen »
Nach oben scrollen