Fake-Mails / Fake-SMS (Sammelthema)

  • TIPP

  • HotPi
  • 7464 Aufrufe 52 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • "Hör mir besser zu!!!": Bitcoin-Erpressermails mit Bombendrohungen

    Das Landeskriminalamt warnt vor der Zunahme von Erpressermails, in denen Bombendrohungen ausgesprochen werden. Es gab bereits Evakuierungen.

    Seit Kurzem kursieren bundesweit vermehrt E-Mails mit Bombendrohungen. Besonders Unternehmen und Behörden scheinen Ziel der Erpresser zu sein, es hat sogar schon Evakuierungen gegeben. Sie fordern Bitcoins in Höhe von mehreren tausend Euro, die innerhalb von 80 Stunden bezahlt werden müssen. Das Landeskriminalamt Niedersachsen bestätigte gegenüber heise Security, dass es seit voriger Woche eine Welle solcher Bombendrohungen beobachte.

    Außerdem nehmen derzeit anscheinend auch die eher bekannten Erpressermails zu, in denen es heißt, eine Unternehmenswebseite sei gehackt worden oder anderweitig heikles Material gefunden, was ausgenutzt werde, sollte eine bestimmte Summe nicht bezahlt werden.

    Besser nicht zuhören
    Die E-Mails mit den Bombendrohungen haben laut der Polizei Heidekreis, die eine allgemeine Warnung ausgegeben haben, den Betreff: "Hör mir besser zu!!!" In den Nachrichten wird dann erklärt, es sei eine Bombe in dem Gebäude platziert worden, in dem das angeschriebene Unternehmen sitzt. Polizeiliche Maßnahmen würden dazu führen, dass sie sofort detoniert, da das Haus kontrolliert werde. Zu verhindern sei die Explosion nur, indem mehrere tausend Euro in Bitcoin an eine BTC-Adresse bezahlt würden. Ähnliche Mails soll es auch in englischer Sprache geben. Der Inhalt ähnelt laut Polizei Erpresserschreiben, die bereits im Mai umhergingen. Sie warnt, nicht zu zahlen und auch keinen Kontakt zu den Versendern aufzunehmen.

    In Bayern evakuierte die Polizei bereits eine Bäckerei und ein Gebäude, in dem mehrere Organisationen sitzen, die ebensolche E-Mails bekamen. Einsatzkräfte rückten mit Spürhunden an und sicherten die Umgebung, berichtet die Tageszeitung Merkur. Gefunden wurde nichts.

    Häufung von Drohmails
    Im Fall der Erpressermails sind die Drohungen unterschiedlicher: Mal wird behauptet, Zugriff auf Computer, dann wiederum auf Mailkonten oder die Webcam zu haben. Teilweise heißt es auch, Webseiten seien gehackt worden, nachdem Sicherheitslücken gefunden wurden. Die Erklärungen, wie die Täter vorgegangen seien, sind recht ausführlich und können für Laien schnell real wirken. In Einzelfällen soll es laut Polizei auch tatsächlich Zugriffe gegeben haben. Das Drohszenario der Erpresser: "Wir sind bereit, den Ruf Ihrer Website gegen eine geringe Gebühr nicht zu zerstören." Sogleich ist auch direkt ein Link dazu enthalten, wie Bitcoins erhältlich sind.

    Auch auf der Bitcoin-Missbrauchs-Meldeseite Bitcoinabuse.com lässt sich kontrollieren, ob Absender beziehungsweise Empfänger seriös sind. Dort haben bereits einige Betroffene erhaltene Erpressermails gemeldet. Die bekannte Empfängeradresse hat demnach bisher kein Geld erhalten.

    Quelle: "Hör mir besser zu!!!": Bitcoin-Erpressermails mit Bombendrohungen | heise online
  • Manipulierte Excel-Dateien in Phishing-Mails

    Eine neu entdeckte Malware-Bande benutzt einen cleveren Trick, um bösartige Excel-Dateien zu erstellen, die eine höhere Chance haben, Sicherheitssysteme zu umgehen.

    Die von Sicherheitsforschern der NVISO Labs entdeckte Malware-Bande – die sie Epic Manchego nannten – ist seit Juni aktiv und zielt mit Phishing-E-Mails, die ein bösartiges Excel-Dokument enthalten, auf Unternehmen in der ganzen Welt ab.

    Laut NVISO sind das aber Standard-Excel-Tabellen. Die bösartigen Excel-Dateien umgingen Sicherheitsscanner und hatten niedrige Erkennungsraten. Laut NVISO lag dies daran, dass die Dokumente nicht mit der Standard-Software Microsoft Office, sondern mit einer .NET-Bibliothek namens EPPlus erstellt wurden.

    Entwickler verwenden diesen Bibliotheksteil ihrer Anwendungen in der Regel, um die Funktionen „Als Excel exportieren“ oder „Als Tabellenkalkulation speichern“ hinzuzufügen. Die Bibliothek kann zur Generierung von Dateien in einer Vielzahl von Tabellenkalkulationsformaten verwendet werden und unterstützt sogar Excel 2019.

    NVISO sagt, dass die Epic Manchego-Bande offenbar EPPlus verwendet hat, um Tabellenkalkulationsdateien im Office Open XML (OOXML)-Format zu erzeugen.

    Den von Epic Manchego erzeugten OOXML-Tabellenkalkulationsdateien fehlte ein Teil des kompilierten VBA-Codes, der spezifisch für Excel-Dokumente ist, die in der proprietären Office-Software von Microsoft kompiliert wurden.

    Einige Antiviren-Produkte und E-Mail-Scanner suchen speziell nach diesem Teil des VBA-Codes, um nach möglichen Anzeichen für bösartige Excel-Dokumente zu suchen, was erklären würde, warum von der Epic Manchego-Bande erstellte Tabellenkalkulationen niedrigere Erkennungsraten hatten als andere bösartige Excel-Dateien.

    Die kompilierten VBA-Codes sind normalerweise der Ort, an dem der bösartige Code eines Angreifers gespeichert wird. Das bedeutet jedoch nicht, dass die Dateien sauber waren.

    NVISO sagt, dass die Epic Manchego-Bande ihren bösartigen Code einfach in einem benutzerdefinierten VBA-Codeformat speicherte, das ebenfalls kennwortgeschützt war, um Sicherheitssysteme und Forscher daran zu hindern, seinen Inhalt zu analysieren.

    Doch obwohl sie ihre bösartigen Excel-Dokumente mit einer anderen Methode erzeugten, funktionierten die EPPlus-basierten Tabellenkalkulationsdateien nach wie vor wie jedes andere Excel-Dokument.

    Die bösartigen Excel-Dokumente (auch Maldocs genannt) enthalt ein bösartiges Makroskript. Wenn Benutzer, die die Excel-Dateien öffneten, die Ausführung des Skripts erlaubten (indem sie auf die Schaltfläche „Bearbeitung aktivieren“ klickten), würden die Makros Malware herunterladen und auf den Systemen der Opfer installieren.

    Die endgültigen Nutzlasten waren klassische Infostealer-Trojaner wie Azorult, AgentTesla, Formbook, Matiex und njRat, die Passwörter aus den Browsern, E-Mails und FTP-Clients der Benutzer ausspielten und an die Server von Epic Machengo schickten.

    Die Entscheidung, EPPlus für die Generierung ihrer bösartigen Excel-Dateien zu verwenden, mag zwar einige Vorteile gehabt haben, aber am Anfang hat sie Epic Manchego auf lange Sicht auch geschadet, da sie es dem NVISO-Team ermöglichte, alle ihre früheren Operationen sehr leicht aufzuspüren, indem es nach merkwürdig aussehenden Excel-Dokumenten suchte.

    Am Ende sagte NVISO, es habe mehr als 200 bösartige Excel-Dateien entdeckt, die mit der Epischen Manchego in Verbindung stehen, wobei die erste auf den 22. Juni dieses Jahres zurückgeht.

    Laut NVISO scheint diese Gruppe mit dieser Technik zu experimentieren, und seit den ersten Angriffen haben sie sowohl ihre Aktivität als auch die Ausgereiftheit ihrer Angriffe erhöht, was darauf hindeutet, dass dies in Zukunft eine breitere Anwendung finden könnte.

    Dennoch waren die NVISO-Forscher nicht völlig überrascht, dass Malware-Gruppen jetzt EPPlus verwenden. „Wir sind mit dieser .NET-Bibliothek vertraut, da wir sie seit einigen Jahren zur Erstellung bösartiger Dokumente („Maldocs“) für unser rotes Team und unsere Penetrationstester verwenden“, so das Unternehmen.

    Quelle: Manipulierte Excel-Dateien in Phishing-Mails | ZDNet.de
  • Neu

    Polizei warnt: Mails zum Corona-Schutz verbreiten Malware

    Cybergangster verschicken derzeit Mails, in denen es angeblich um den Schutz vor Corona geht. Doch stattdessen kommt Malware.

    Das Landeskriminalamt Niedersachsen warnt vor Mails mit Schadsoftware, die erneut die Coronakrise beziehungsweise die Covid-19-Pandemie zur Verbreitung nutzen. Diese Mails sollen sich seit einigen Tagen verstärkt verbreiten, wie die Polizei betont.

    Die Mails geben vor, vom Bundesministerium für Gesundheit zu stammen. Als Absenderadresse wird genannt: poststelle@bundesministerium-gesundheit.com. Den Inhalt der durchaus sorgfältig formulierten Mail können Sie hier nachlesen.

    Die an die Mail angehängte Datei beschreibt angeblich neue Coronaschutzregeln für den Arbeitsplatz. Zudem werden die Empfänger dazu aufgefordert, das angehängte Dokument allen Mitarbeitern im Betrieb zugänglich zu machen. Vorsicht: Dadurch würde die Malware also weiter im Unternehmen verbreitet!

    Denn eine Datei namens Arbeitsschutzregel-Corona-September.pdf.js ist in einer ZIP-Datei mit dem Namen Bund-Arbeitsschutzregel-Corona-September-1.zip an die Mail angehängt. Es handelt sich hierbei um den Downloader für eine Schadsoftware!

    Wichtig: Klicken Sie das ZIP-Archiv nicht an, sondern löschen Sie die Mail.
    Sollten Sie die Datei bereits geöffnet haben, lassen Sie Ihren PC mit einer Antiviren-Software untersuchen. Erstatten Sie Anzeige bei der Polizei, am einfachsten über Ihre zuständige Onlinewache.

    In der Vergangenheit haben Cybergangster immer wieder die Coronakrise für Angriffe, vor allem auch auf Unternehmen, ausgenutzt. Einen Überblick zu diesen kriminellen Machenschaften geben wir hier: Polizei warnt - immer neue Betrugsmaschen mit Coronavirus.

    Quelle: Polizei warnt: Mails zum Corona-Schutz verbreiten Malware - PC-WELT