Die fiesesten Tricks der Virenschreiber

In .doc- und .xlsm-Dateien steckt meist der TrickBot-Banktrojaner

In DOC- und XLSM-Dateien versteckt sich meist TrickBot

Im März beobachtete F-Secure massive Spitzen bei Spam-Kampagnen, bei denen .doc- und .xlsm-Dateien (wieder: Word- und Excel-Dateien) zur Auslieferung der Malware TrickBot verwendet wurden – einem modularen Banktrojaner. Allerdings wurde TrickBot in den neuen Versionen aufgerüstet und stiehlt nun beispielsweise auch Passwörter und mehr.
Der TrickBot-Banktrojaner trifft bevorzugt in Word- oder Excel-Dateien mit Makros ein
Quelle: f-secure.com
Klicken Sie bei unverlangt per Mail erhaltenen Word- und Excel-Dateien niemals auf etwas wie «Makros aktivieren» oder «Bearbeitung aktivieren»
Quelle: f-secure.com
Die oben gezeigten Dateianhänge im Office-Format enthalten ein böswilliges Makro, das die Angriffsdateien mit dem Microsoft-eigenen, ansonsten für harmlose geplante Upload- und Download-Jobs verwendete BITSAdmin-Tool herunterlädt und ausführt.
Der TrickBot-Banktrojaner benutzt das Windows-Bordmittel BITSAdmin, um die Schaddateien nachzuladen und zu starten
Quelle: f-secure.com
Nach erfolgreichem Download und der Ausführung startet TrickBot, wie im Beispiel, die Ausführung und erstellt Module auf dem PC des Opfers:

Der TrickBot-Banktrojaner erzeugt die schädlichen Module
Quelle: f-secure.com
Gezielte Phishing-Angriffe mit PDF-Dateien

Die Grafik mit den registrierten Attacken zeigt bei der höchsten Spitze einen Angriff, bei dem PDFs als verseuchter Anhang genutzt wurden. Diese im März ausgeführte Phishing-Kampagne zielte speziell auf Kunden von American Express.
Mit solchen Mails sollten «American Express»-Kunden abgephisht werden
Quelle: f-secure.com
Sobald die PDF-Datei geöffnet wird, sieht der Nutzer eine Nachricht mit einem Link. Die Nachricht stamme – so behauptet der Text in der Mail – von einem Kundensicherheitsteam der American Express Business Card und soll zu einer «sicheren Nachricht» führen.
Die Mails enthielten eine PDF-Datei mit einem angeblich sicheren Link, der aber auf das Phishing-Portal der Angreifer führte
Quelle: f-secure.com
Der dargestellte Link enthält eine mittels Linkkürzungsdienst verkürzte URL, die das Opfer zu einer gefälschten Webseite beim bekannten Hoster «GoDaddy» führt. Das mit den Linkkürzern ist ein beliebter Trick, der auch bei vielen anderen Phishing-Kampagnen genutzt wird, um an die Bank-Login-Daten der Nutzer zu gelangen. Das untere Beispiel zeigt eine ähnliche Kampagne, die auch eine verkürzte URL als Phishing-Link verwendet, bei der die gefälschte Webseite auf die Nutzer der Bank of America abzielt.

Eine ähnliche (gefälschte) Phishing-Webseite im Design der «Bank of America» hat hier das Ziel, an Login-Daten von BoA-Kunden zu kommen
Quelle: f-secure.com

Seite 2/3
Auf einer Seite lesen
  1. Die fiesesten Tricks der Virenschreiber
  2. In .doc- und .xlsm-Dateien steckt meist der TrickBot-Banktrojaner
  3. Lotterie-Betrugsversuche mittels PDF – und Google. Ausserdem: Auch Dateitypen .iso und .img werden für Schädlingstransport benutzt
Artikel drucken
Das könnte Sie auch interessieren
Zum Welt-Passwort-Tag vor 1 Tag
«95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen»
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
 
vor 1 Tag
#LockedShields2024 22.04.2024
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
22.04.2024
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024
Betrugsversuch 14.04.2024
Angeblicher TWINT-Gutschein entpuppt sich als Account Takeover
Cyberkriminelle versprechen in einem E-Mail, welches angeblich von TWINT stammt, einen Treuegutschein im Wert von 100 Franken. Mit den erhaltenen Informationen versuchen die Betrüger das TWINT-Konto zu übernehmen.
 
14.04.2024