Als echte Bewerbung getarnt: Neuer Erpressungstrojaner verbreitet sich schnell

7. Dezember 2016, 09:00
76 Postings

Goldeneye visiert Personalverantwortliche mit authentisch wirkenden Mails an

Wer in diesen Tagen ein Bewerbungs-Mail erhält, sollte damit vorsichtig umgehen. In Deutschland verbreitet sich derzeit ein Erpressungstrojaner über solche Mails besonders schnell. Die Art und Weise wie das Mail verfasst ist, lässt die Nachricht authentisch wirken, warnt der deutsche CERT-Bund auf Twitter.

Gezielter Versand

Die Mails werden gezielt an Personalverantwortliche in Firmen verschickt. Sie enthalten die richtige Anrede passend zum Empfänger des E-Mails und im Text wird auf echte Stellenausschreibungen des jeweiligen Unternehmens Bezug genommen. Dazu ist der Text in fehlerfreiem Deutsch verfasst.

Die Mails werden von verschiedenen Adressen von einem Absender namens Rolf Drescher verschickt. "Heise" hat recherchiert, dass eine Firma namens Dipl.- Ing. Rolf B. Drescher VDI & Partner Hilfe für Nutzer bietet, deren Computer vom Erpressungstrojaner Petya befallen wurden. Der oder die Virenautoren dürften mit Goldeneye nun Rache dafür nehmen.

Nutzer müssen erste Bearbeitungsfunktion aktivieren

Der Trojaner ist in einer Excel-Datei versteckt, die den Mails angehängt ist. Beim Öffnen der Datei werden Nutzer aufgefordert die Bearbeitungsfunktion zu aktivieren. Dadurch erlaubt man dem Programm Makros auszuführen und die Malware kann ihr Werk verrichten.

Wie bei Schädlingen dieser Art üblich, verschlüsselt Goldeneye Dateien auf dem befallenen System und verlangt vom Nutzer Lösegeld. Zumindest teilweise soll der Virus auch Netzlaufwerke verschlüsseln. Goldeneye zielt auf Windows-Systeme ab, funktioniert aber nicht auf allen Versionen. So sind Windows 10, Windows 7 und Server 2008 anfällig, Windows Server 2012 aber offenbar nicht.

Wenige Virenscanner erkennen Goldeneye

Problematisch ist, dass die bösartigen .exe-Files von Goldeneye erst von wenigen Virenscannern erkannt werden. Bei der Excel-Datei hingegen schlagen die Programme zwar besser an, die Virenautoren würden die Datei aber oft ändern, um die Virenscanner zu täuschen. Die Firma Dresche VDI & Partner hat bereits Anzeige gegen unbekannt erstattet. (red, 7.12.2016)

    Share if you care.