21.10.21
Gezielte Angriffe auf Unternehmen mit EXCEL ZIP Datei in der Beilage
Mit gezielten Antwort-Mails auf wirklich gesendete Mails versuchen Hacker Mitarbeiter in Unternehmen dazu zu verleiten, einen verseuchten ZIP Anhang zu öffnen. Besonders perfid: Die Antwort-Mails scheinen tatsächlich vom ursprünglichen angeschriebenen Adressaten zu stammen.
Screenshot Antwort-Mail
Die Betrugsmasche
Im Betreff des gerade im Postfach eingegangen Mails steht ein Re: oder AW: mit dem Text, den man selber an einen Geschäftspartner verschickt hat. Auch die angezeigte Mailadresse scheint zu stimmen. Nur im Mail selber steht etwas, das man nicht erwartet hat. Zwei nicht anklickbare Linktexte machen aber neugierig.
Kopiert man die Linktexte in einen Browser und wählt die URL an, so wird eine .ZIP Datei herunter geladen.
Screenshot Download
Die Betrugsmasche
Doppelklickt man die .ZIP Datei, so öffnet sich eine EXCEL Datei. Diese enthält allerdings ausführbare Schadsoftware. Der Benutzer wird aufgefordert, die Sicherheitseinstellungen von EXCEL abzuschalten und die Ausführung der EXCEL Datei zu erlauben.
Screenshot EXCEL Ausführen
Die Betrugsmasche
Lässt der Benutzer die Ausführung der Datei zu, so wird eine Schadsoftware installiert. Es handelt sich um einen sogenannten Exploiter. Das bedeutet, dass die Täterschaft zu einem späteren Zeitpunkt jedwelche andere Schadsoftware nachladen kann.
Screenshot Exploiter
Was muss ich tun
- Nehmen Sie am besten per Telefon mit dem ursprünglich Adressierten Kontakt auf und fragen nach, ob diese Mail tatsächlich von ihm stammt
- Informieren Sie ihn, dass sein Mailaccount mit grosser Wahrscheinlichkeit kompromitiert wurde und die Mails den Tätern in die Hände gefallen sind
- Kopieren Sie keine Links aus dem Mailtext und geben sie manuell in Ihrem Browser ein
- Seien Sie misstrauisch und erlauben Sie auf keinen Fall die Ausführung einer ausführbaren Datei (EXCEL)
Ich habe die EXCEL Datei schon ausgeführt
- Melden Sie den Vorfall umgehend per Telefon Ihrem IT Support
- Schalten Sie den PC aus
- Lassen Sie den PC neu aufsetzen
Mir ist ein Schaden entstanden
- Erstatten Sie Strafanzeige auf Ihrer lokalen Polizeistation
Weiterführende informationen
- Hacker fahren aktuell großangelegte, digitale Angriffe in Deutschland und Österreich und nutzen dabei täuschend ähnliche Excel-Dateien als Köder
- Virustotal
Erkenntnis der Polizei
- Zum Teil kommen drei verschiedene Texte angeblich von dem selben Adressaten zurück, in Tat und Wahrheit allerdings von drei weiteren gehackten Mailaccounts anderer Opfer
- Es ist davon auszugehen, dass der Mail Account des ursprünglich angeschrieben Adressaten kompromitiert worden ist und die Mails den Tätern in die Hände gefallen sind
