Menü
Security

Achtung: Rechnungs-Trojaner vom Kollegen

Mit einem miesen Trick versuchen Kriminelle, unvorsichtige Anwender mit Online-Banking-Trojanern zu infizieren.

Von
vorlesen Drucken Kommentare lesen 288 Beiträge
Achtung: Rechnungs-Trojaner vom Kollegen

(Bild: WAYHOME studio/Shutterstock.com)

Die international agierende Emotet-Gang hat derzeit offenbar deutschsprachige Internet-Nutzer im Visier. Die aktuell in großer Zahl verschickten Rechnungs-Trojaner stammen scheinbar von Kollegen und spielen dabei gekonnt auf der Klaviatur des Social Engeneerings:

"Guten Tag,

ich hab versucht Sie telefonisch zu erreichen.
Leider waren Sie nicht da. Ich hab um Rückruf gebeten.
Da ich aber nicht den ganzen Tag im Büro sein werde, möchte ich Ihnen gerne sagen, dass ich schon enttäuscht bin, dass die versprochene Zahlung noch nicht angekommen ist."

Das ist nur ein Beispiel von vielen und wird in der aktuellen Kampagne auf vielfältige Art variiert. Offenbar haben die Kriminellen ihre E-Mail-Adressen dazu nach Domains sortiert. Ich bekomme die Rechnungs-Trojaner bevorzugt von vorgetäuschten Heise-Adressen (ein genauerer Blick zeigt dann, dass die echte Absender-Adresse doch eine andere ist); Kollegen und Leser berichten von ähnlichen Erfahrungen.

Mit diesem Trick will der Rechnungs-Trojaner den Anwender überreden, die Ausführung von Makros zu gestatten.

Der zur Infektion genutzte Mechanismus ist immer noch der gleiche, wie bei den vorherigen Wellen. Im Anhang findet sich eine .doc-Datei mit einem Namen wie "Rechnung-GM47874650-786.doc", die Makros enthält. Wer sie in Word öffnet und der Aufforderung folgt, deren Ausführung zu aktivieren, startet unsichtbar im Hintergrund Powershell-Befehle, die die eigentliche Online-Banking-Malware der Emotet-Gang nachladen und installieren.

Dabei haben die Kriminellen offensichtlich Erfolg. Im Juli veröffentlichte das US-CERT eine Warnung speziell zu Emotet Malware. Die Sicherheitsfirma Rapid7 berichtet, dass bei ihnen in den vergangenen Monaten über die Hälfte aller bestätigten Malware-Infektionen auf Emotet zurückzuführen sind. Unverlangt zugesandte .doc-Dateien sollte man grundsätzlich nicht öffnen. Wenn man unsicher ist, kann man bei Kollegen kurz nachfragen. Und auf gar keinen Fall sollte man die Makro-Funktionen aktivieren, wenn die Herkunft eines Dokuments nicht hundertprozentig sicher ist.

Siehe zu den Rechnungstrojanern:

(ju)