Die fiesesten Tricks der Virenschreiber

Lotterie-Betrugsversuche mittels PDF – und Google. Ausserdem: Auch Dateitypen .iso und .img werden für Schädlingstransport benutzt

Betrugsversuche per PDF mit der «Google-Gewinner»-Lüge

Die am zweitstärksten registrierte Betrugs-Kampagne, bei der ein PDF-Dateianhang verwendet wurde, ist ein «Lotteriegewinn»-Betrug mit Google als vermeintlichem Absender:
Auch Googles Name und Logo wird für Betrügereien missbraucht: Hier eine PDF-Datei, in der fürs Abholen eines angeblichen Lotteriegewinns vielerlei persönliche Daten fällig gewesen wären
Quelle: f-secure.com
Das Fake-Gewinnerschreiben fordert das Opfer auf, personenbezogene Daten anzugeben, wie vollständigen Namen, Adresse, Land, Nationalität, Telefonnummer, Handynummer, Beruf, Alter, Geschlecht und private E-Mail-Adresse. Solche Daten sind für den Angreifer Gold wert, denn damit kann der Kriminelle künftige Betrugs-, Phishing- und Schädlings-Mails an das Opfer noch persönlicher gestalten. Das erhöht die Chancen, dass das Opfer (erneut) darauf hereinfällt.

Die «Neuen» in der Inbox: .iso- und .img-Dateien

.iso- und .img-Dateien, bekannt als Abbild-Dateien von CDs und DVDs, sind bei Spam-Kampagnen noch nicht als verwendete Dateitypen in der Spitzengruppe zu finden. Allerdings registriert F-Secure seit Juli 2018 einen gewissen Trend beim Einsatz dieser Dateitypen als Malware-Transportmittel. Bei den meisten bekannten Kampagnen, die solche Dateiformate mit sich führten, wurden die Angreifer AgentTesla InfoStealer und NanoCore RAT eingesetzt.
In letzter Zeit sind sogar Image-Dateien (.iso und .img) benutzt worden, die sonst als Datenträger-Abbilder verwendet werden
Quelle: f-secure.com
In einer erst vor Kurzem aufgespürten Spam-Kampagne hat F-Secures Lab zwei Arten von Anhängen gesichtet: Ein böswilliges Office-Dokument und eine ISO-Image-Datei – beide installieren einen AgentTesla-Infostealer.
In dieser Mail lässt der Angreifer dem Nutzer die «Wahl», ob er den Schädling aus einer Word- oder .iso-Datei installieren will (Tipp: lieber gar nicht; solche Anhänge nicht öffnen!)
Quelle: f-secure.com
Das böswillige Dokument führt nach dem Öffnen ein Makro aus, um die eigentlich schädlichen Komponenten (in der Fachsprache als «Payload» bezeichnet) herunterzuladen und auszuführen.
Das Makro im Word-Dokument lädt den eigentlichen Schadcode (den «AgentTesla»-Infostealer) aus dem Netz und führt ihn aus
Quelle: f-secure.com
Die .iso-Datei enthält eine ausführbare Binärdatei, die ebenfalls den AgentTesla-Infostealer installiert
Quelle: f-secure.com
Während die ISO-Datei die schädliche Binärdatei enthält. Unabhängig davon, welchen der beiden angehängten Dateitypen ein Opfer öffnet: Es wird immer die Schad-Software AgentTesla installiert. Das ist ein Infostealer, der in der Lage ist, die System- und Anmeldeinformationen des Opfers von gängiger, installierter Software wie Browsern, E-Mail-Clients und FTP-Clients zu erfassen und zu übertragen.
Über die Autorin
Patricia ist Bedrohungsforscherin im Virenlabor des finnischen Antivirenherstellers F-Secure. Dort hat sie viele Zahlen, technische Details und Screenshots darüber zusammengetragen, mit welchen Tricks und Dateitypen die Schädlingsverbreiter und Online-Erpresser derzeit arbeiten. In ihrem Blog-Beitrag, den wir mit freundlicher Genehmigung F-Secures übernehmen dürfen, macht sie uns viele der spannenden Erkenntnisse zugänglich.
Seite 3/3
Auf einer Seite lesen
  1. Die fiesesten Tricks der Virenschreiber
  2. In .doc- und .xlsm-Dateien steckt meist der TrickBot-Banktrojaner
  3. Lotterie-Betrugsversuche mittels PDF – und Google. Ausserdem: Auch Dateitypen .iso und .img werden für Schädlingstransport benutzt
Artikel drucken
Das könnte Sie auch interessieren
Swisscom vor 11 Stunden
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen «Disinformation & Destabilisation», «Manipulated Generative AI» und «Unsecure IoT/OT-Devices».
 
vor 11 Stunden
Zum Welt-Passwort-Tag vor 1 Tag
«95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen»
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
 
vor 1 Tag
#LockedShields2024 22.04.2024
Auch Schweizer Armee nimmt an grösster internationaler Cyber-Übung teil
Das Kommando Cyber der Schweizer Armee nimmt im April zusammen mit nationalen und internationalen Partnern an der weltweit grössten Cyber Defense Übung #LockedShields2024 teil.
 
22.04.2024
WebGPU 15.04.2024
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
 
15.04.2024