2239249

Goldeneye: Bewerbungs-Mails mit Erpresser-Malware

06.12.2016 | 18:04 Uhr |

In als Bewerbungsunterlagen getarnten Excel-Dateien steckt eine neue Malware-Variante namens Goldeneye, die Daten verschlüsselt. Bislang ist die Erkennung des Schädlings durch Antivirus-Software eher mäßig.

Derzeit werden in Deutschland Mails verbreitet, die eine vorgebliche Bewerbungsmappe als Excel-Datei im Anhang mitbringen. Darin steckt ein Trojanisches Pferd. Es legt weiteren Schadcode als EXE-Dateien auf dem System ab, der Daten auf der Festplatte verschlüsseln soll. Die Programmierer bezeichnen ihren Schädling selbst als „Goldeneye“, was wohl eine Anspielung auf einen James-Bond-Film aus dem Jahr 1995 sein soll. Goldeneye ist offenbar der jüngste Ableger der Ransomware „ Petya “.

Der Mail-Anhang trägt beispielsweise den Dateinamen „bewerbung.xls“. Sie enthält ein VBA-Makro, die erste Stufe des Schädlings. Wird die Datei in Excel geöffnet, erscheint eine Aufforderung zum Aktivieren der Bearbeitungsfunktion. Da Makros in Excel sicherheitshalber erstmal deaktiviert sind, wird der Schädling erst durch diese Aktion des Benutzers aktiv. Er legt dann zwei EXE-Dateien auf dem System ab und erzwingt einen Neustart des Rechners. Er täuscht dabei wie seine Petya-Vorgänger eine Festplattenprüfung mit CHKDSK vor.

Goldeneye - Excel-Datei mit VBA-Makro
Vergrößern Goldeneye - Excel-Datei mit VBA-Makro

Während dieses Vorgangs werden Daten auf der Festplatte verschlüsselt. Nach Angaben des Wiener Antivirusherstellers Ikarus fordert der Schädling für die Freigabe der verschlüsselten Daten ein Lösegeld in variierender Höhe zwischen 1,3 und 1,4 Bitcoins, derzeit etwa 950 bis 1000 Euro. Diese sollen an eine Adresse im Tor-Netzwerk gezahlt werden.

Um die Erkennung durch Antivirus-Software zu erschweren, variieren die Malware-Programmierer die Excel-Dateien. Bislang erkennen nur wenige Virenscanner die Excel-Dateien, dafür allerdings alle bislang vorliegenden Exemplare. Bei den abgelegten EXE-Dateien sieht die Erkennung noch schlechter aus. Erfahrungsgemäß kann es einen halben bis ganzen Tag nach Start einer neuen Malware-Kampagne dauern, bis die meisten Antivirusprogramme den neuen Schädling erkennen.

Alle, die Mails mit vermeintlichen Bewerbungsunterlagen erhalten, sollten die Anhänge der Mails für mindestens einen, besser zwei Tage nicht anfassen. Im Unternehmen sollten Sie sich an die IT-Abteilung wenden und den Erhalt verdächtiger Mails melden.

0 Kommentare zu diesem Artikel
2239249