Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 09/2017
  4. Achtung: Aktuelle Spam-Mails fälschen Absender von Mitarbeitern

Achtung: Aktuelle Spam-Mails fälschen Absender von Mitarbeitern Update

18.09.2017 15:13 Uhr Olivia von Westernhagen
vorlesen
Achtung: Aktuelle Spam-Mails fälschen Absender von Mitarbeitern

Das Word-Dokument bedient sich Social-Engineering-Strategien, um Empfänger zum Aktivieren schädlicher Inhalte zu verleiten.

(Bild: Screenshot / malwr.com)

Akute Gefahr geht von einer Schädlingswelle aus, die per E-Mail anrollt. Durch eine clevere Wahl der Absender könnten auch versierte Anwender verleitet werden, dem darin enthaltenen Link zu folgen. Er führt zu bislang weitgehend unerkannter Malware.

Eine aktuelle Spam-Kampagne setzt auf starke Personalisierung: Sie täuscht als Absender reale E-Mail-Adressen von Mitarbeitern desselben Unternehmens vor. Neben E-Mails mit eher nichtssagendem Betreff wie "Scan 28923323236" beinhalten einige Betreffzeilen zusätzlich den Namen des Empfängers – etwa in der Form "WG: gescanntes Dokument 14517127599 [Empfänger]".

Achtung: Aktuelle Spam-Kampagne fälscht Absender von Mitarbeitern
Die personalisierte Aufmachung verleitet zu reflexhaftem Anklicken. (Bild: Screenshot)

Der E-Mail-Text enthält einen Link, hinter dem sich je nach Wortlaut ein vermeintlicher Überweisungsbeleg oder ein Dokument mit angeblich angeforderten Informationen verbirgt. Angesichts der bekannten Absender-Adresse besteht erhöhte Gefahr, dass sich auch sicherheitsbewusste Anwender zum "reflexhaften" Anklicken verleiten lassen.

Auf der Zielseite wartet ein Word-Dokument mit der Bezeichnung Rechnungs-Details-68436558143.doc auf Download und Ausführung (die Namensgebung kann durchaus variieren). Die Erkennungsrate beim Online-Scandienst VirusTotal liegt für den Download-Link aktuell noch bei Null. Angesichts der Word-Datei schlägt lediglich Symantec Alarm.

Vermeintliche Rechnung enthält schädlichen Makro-Code

Ein Online-Scan des angeblichen Rechnungsdokuments auf malwr.com liefert aufschlussreiche Screenshots von dessen Innenleben zurück. Auf Englisch wird der Empfänger aufgefordert, mittels zwei Klicks auf gelbe Schaltflächen sowohl die Bearbeitung des Dokuments als auch die Ausführung eingebetteter Inhalte zu erlauben ( "Enable Editing"/"Enable Content").

Eine kurze Analyse fördert Makrocode zutage, der mittels einer autoopen()-Funktion automatisch startet. Der später im Code auftauchende Begriff "Shell" legt außerdem nahe, dass weiterer Schadcode nachgeladen und ausgeführt wird. Um mit dem Office-Dokument einen Rechner zu infizieren, bedarf es also mehrerer Nutzer-Interaktionen. Gefährlich wird es allerdings , wenn die – mittlerweile standardmäßige – Deaktivierung von Makros im Vorfeld vom Nutzer aufgehoben wurde.

Wer sein System gegen diesen und ähnliche Angriffe abhärten will, kann dies mit unserem Tool Protec'tor mit wenigen Mausklicks tun.

Update 18.9.2017, 17:45: Das CERT-Bund warnt ebenfalls vor den angeblichen Rechnungen, die demnach den Trojaner Emotet verbreiten. (ovw)

Kommentare lesen (222 Beiträge)

Forum zum Thema: Desktopsicherheit

https://heise.de/-3834782 Drucken
Mehr zum Thema:
E-Mail Malware Spam
Anzeige
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal

MikroTik RouterOS

Drupal (CKEditor)

Anzeige
Anzeige
  • Geldanlage: von Mensch und Maschine profitieren
  • Special: DSGVO Ratgeber
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Muss SpectreV2-Fix bei mir abschalten
    option base schrieb am 26.04.2018 13:48: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SpectreAndMeltdown/MitigationControls Wenn ich das…

    Forum:  CPU-Sicherheitslücken unter Windows: Spectre-Schutz auch für Haswell

    Stephan Goll hat keinen Avatar
    von Stephan Goll; vor einer Minute
  2. Das ist einfach: IPMI-Protokoll
    IPMI hat prinzipielle Schwachstellen und ist angreifbar, wenn die Anmeldename bekannt ist (Administrator?). Siehe auch…

    Forum:  Server-Verwaltung: Erpressungstrojaner hat es auf HPE iLo abgesehen

    zahni31_neu hat keinen Avatar
    von zahni31_neu; vor 3 Minuten
  3. MNGT-Interface vom LAN aus erreichbar?
    Doch nur bei irgendwelchen Frickelbuden, oder? Ich kenne kein RZ, wo die iLOs, Dracs, IPMIs, whatever direkt am LAN hängen. Die sind in ein…

    Forum:  Server-Verwaltung: Erpressungstrojaner hat es auf HPE iLo abgesehen

    as-far-as-i-know hat keinen Avatar
    von as-far-as-i-know; vor 4 Minuten
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2280763
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien