Bearbeitungsfunktion auf keinen Fall aktivieren

Fake-Bewerbung: Infizierte Excel-Datei hält Personalbüros in Atem

Foto von Sebastian Hardt

von Sebastian Hardt (@hardtboiled)-

Die Polizeiinspektion Osnabrück warnt derzeit vor einer Erpresser-Software, der bereits mehrere Unternehmen auf den Leim gegangen sind. 'Goldeneye' nennt sich der Übeltäter, der sich als seriöse Bewerbung mit Xls-Anhang tarnt und dabei so perfide vorgeht, wie kaum eine andere bekannte Ransomware.

Ein besonders fieser Erpresser-Trojaner hat es derzeit ausgerechnet auf Firmen abgesehen, die auf der Suche nach neuen Mitarbeitern sind. Warum besonders fies? Weil die Verbrecher bei der Konzeption ihrer Ransomware offensichtlich mit nie dagewesener Detailverliebtheit zu Werke gegangen sind.

So sieht der Übeltäter aus: Wird hier die Bearbeitungsfunktion aktiviert, nimmt das Unheil seinen Lauf.  

Quelle: (Screenshot)  CERT-Bund via Twitter 

So sieht der Übeltäter aus: Wird hier die Bearbeitungsfunktion aktiviert, nimmt das Unheil seinen Lauf.  

Quelle: (Screenshot)  CERT-Bund via Twitter 

Absender, Adressat und Stellenbezeichnung wirken echt

Die als harmlose Bewerbungs-Mail getarnte Schadsoftware, vor der die niedersächsische Polizei und der CERT-Bund derzeit warnen, nimmt konkreten Bezug auf eine aktuell ausgeschriebene Stelle. Zudem weist sie keinerlei Rechtschreibfehler auf - ein mit Tippfehlern gespickter, anonymer Text war bisher immer ein untrügerisches Anzeichen für mit Schädlingen verseuchte Dateien. Als Absender wird stets ein "Rolf Drescher" genannt.

Im Anhang der E-Mail befindet sich nicht einmal eine verdächtige Exe-Datei, was die Wachsamkeit des arglosen Empfängers abermals untergräbt. Vielmehr ist der E-Mail eine PDF- und eine Excel-Datei beigefügt. Erstere enthält eine harmlose Bewerbung in Textform, in der erneut Absender, Adressat und Stellenbeschreibung auftauchen.

Die beigefügte PDF-Datei in der Erpresser-Mail wirkt seriös, sogar Adressat und ausgeschriebene Stelle sind korrekt.  

Quelle: (Screenshot) Synatix GmbH 

Die beigefügte PDF-Datei in der Erpresser-Mail wirkt seriös, sogar Adressat und ausgeschriebene Stelle sind korrekt.  

Quelle: (Screenshot) Synatix GmbH 

Finger weg von der Xls-Datei

Ist das PDF noch ungefährlich, sollten Mitarbeiter vom Öffnen der Excel-Datei tunlichst die Finger lassen. Nach Aktivierung der Bearbeitungsfunktion infiziert der Trojaner das System und verschlüsselt sämtliche Dateien auf Festplatte und ggf. Firmenservern des Opfers - und verlangt im Anschluss das Überweisen einer Lösegeld-Summe zum Freigeben der Daten.

Dieser Aufforderung allerdings sollte im Fall der Fälle keinesfalls nachgekommen werden. Sicherheitsexperten, wie der von uns interviewte Alexander Salvador von Intel Security, raten einhellig dazu, zunächst die Polizei zu alarmieren. Parallel kann der Betroffene auf der Plattform 'No more Ransom' nach Entschlüsselungs-Tools suchen.

Auch wir haben in der Zwischenzeit eine vermeintliche Bewerbung von den Übeltätern erhalten. Zu Testzwecken haben wir diese auf unserer sicheren virtuellen Maschine unter die Lupe genommen, um euch zeigen zu können, wie professionell die Betrüger vorgehen. Den Screenshot des Anschreibens seht ihr rechts im Bild.

Sag uns deine Meinung!

Um einen Kommentar zu verfassen, melde Dich an oder registriere Dich jetzt auf Netz.de!

Das könnte dich auch interessieren!
Werbung
Ab ins Netz mit dir