Eine der Hauptverbreitungswege für Schadsoftware ist die E-Mail.Piraten-Flagge

Beinahe täglich erhalte ich Aufforderungen auf meiner privaten Mailadresse, dringend irgendetwas online zu prüfen, irgendwo eine Sicherheitseinstellung zu ändern, Kreditkarten- und Kontosperren zu verhindern oder Onlinebankingzugänge zu verifizieren. Selbst daran, mit den eigenen Daten konfrontiert und persönlich angesprochen zu werden, habe ich mich inzwischen einigermaßen gewöhnt. Unlängst habe ich sogar eine Bewerbung mit Lebenslauf in einem Virenverseuchten Wordformat erhalten.

Dass in einigen Mails in den Anhängen Trojanische Pferde mit gefährlichen Inhalten lauern, wissen inzwischen hoffentlich alle Nutzer. Die Sicherheitsexperten warnen:

Öffnen Sie niemals Anhänge von unbekannten Absendern!

Siehe Infografik aus dem deutschen Kaspersky-Blog.

Was ich nicht verstehe: Wieso wird vor “unbekannten Absendern” gewarnt?

Die Gefahr lauert erst Recht in Mails von bekannten Menschen und Firmen! Trojaner lesen Adressdatenbanken doch seit Jahren aus und nutzen die Daten zum Verteilen. Das dürfte sich gerade bei Erpressersoftware lohnen, die ja kaum Interesse hat, sich lange zu verstecken, hier ist das primäre Hauptziel, eine möglichst hohe Infektionsquote zu erzielen.

Entsprechend meine Empfehlung:

  • Seien Sie grundsätzlich misstrauisch bei Anhängen und Links in unangekündigten E-Mails, auch bei bekannten Absendern.
  • Prüfen Sie diese vor dem Öffnen akribisch.
  • Nehmen Sie ggf. Rücksprache mit den Absendern.
  • Lassen Sie Spaßmails erstmal liegen und “heranreifen”. Derlei Unwichtiges können Sie auch noch in drei Wochen lesen, wenn Ihr Virenscanner die Gefahren gelernt hat.

Bei einigen gezielten Angriffsformen geht es nicht mal darum, Spionagesoftware und trojanische Pferde einzuschleusen, wenn die Betrüger die nötigen Informationen schon haben.

Eine Spielart ist der/die/das (?) sogenannte CEO-Fraud, eine erfolgreiche Masche der Angriffe über social engineering.

Hier einer der letzten Berichte aus einer ganzen Reihe von Warnungen und Berichten zu diesem Thema:
Kölner Stadtanzeiger

 

Am Freitag hatte der Admin frei, am Samstag war dann Samsa da?Malware-Warnsymbol_rot_gluehend

Bei den aufgedeckten Fällen mit dieser Erpressersoftware wird offensichtich  viel “per Hand” erledigt, der Einbruch in das Netzwerk und auch die Verschlüsselung des Systems erfolgt gezielt manuell.

Bei dem Aufwand ist auch die Lösegeldforderung höher – 50 Bitcoins für die Entsperrung des gesamten Netzes entsprechen heute fast 19.000,00 Euro. Der Einzelrechner ist mit 1,5 BTC dabei. Da sind die 0,5 BTC des Locky-Trojaners ja fast ein Schnäppchen.

Billige, “für alle erschwingliche Massenware” gegen gezielte individuelle “Kundenbetreuung” also auch hier 😉

Da fragt man sich, ob nicht gleich noch andere Beute gemacht wird, also z.B. mit Industriespionage und/oder Sabotage. Womöglich ist einem Wettbewerber die noch nicht zum Patent angemeldete Erfindung des Konkurrenten sogar etwas mehr wert als 50 Bitcoins?

Wer sich übrigens für die Erträge der Erpresser interessiert: Die Transaktionen von Bitcoinzahlungen sind ja nachvollziehbar, auch wenn die Eigentümer der Wallets nicht bekannt sind.

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-mit-neuer-Taktik-Erst-schauen-dann-verschluesseln-3153767.html

Oho, eine Nachricht mit Betreff “Automatische Kontoabbuchung konnte nicht durchgeführt werden” von einer Rechnungsstelle Bank-Pay GmbH? Was kann da schon hinter stecken. Bekannt ist die Absenderadresse schon, der Text ist bewährt.

Sehr geehrter Kunde,

Ihre Bank hat die Lastschrift zurück buchen lassen. Sie haben eine nicht gedeckte Forderung bei Bank-Pay GmbH.

Namens unseren Mandanten fordern wir Sie auf, die offene Forderung schnellstens zu bezahlen.

Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen zuzüglich, die durch unsere Inanspruchnahme entstandenen Gebühren von 34,73 Euro zu bezahlen. Wir erwarten die Überweisung inbegriffen der Zusatzgebühren bis zum 23.03.2015 auf unser Bankkonto.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Eine vollständige Kostenaufstellung, der Sie alle Buchungen entnehmen können, ist beigefügt. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Mit freundlichen Grüßen

Rechnungsstelle Lorenz Mika

Autsch, die im Anhang steckende Schadsoftware ist besonders frisch. Nur ein Virenscanner erkennt die Bedrohung. Die Virenjäger sind alle auf Stand heute. Also weiterhin die Empfehlung: Bei unerwarteten Anhängen erstmal prüfen und nicht verunsichern lassen. Nie einfach öffnen und anklicken, dann ist es schnell zu spät. Oder besser noch: Die Mails mit Linux bearbeiten.

Trojaner

 

Nach 9 Stunden haben doch einige dazugelernt.

Trojaner_2

Die aktuellen Trojaner fordern mit bekannten Texten zum verhängnissvollen TAN-Test auf (Beispiel siehe unten), sind aber selbst mit aktuellen Virenscannern nicht zu erkennen. Konkret hatte ein Kunde heute morgen mit einem Boot-Linux auf USB-Stick (desinfec’t) keine Schadmeldung erhalten. Der Scan mit malwarebytes ergab inzwischen die Diagnose auf Trojanerbefall. Das zeigt, wie gut sich die Schadsoftware inzwischen vor gängiger Antivirus-Software verstecken kann.

Aktuell besonders beliebt: DHL-Mails und bei mir heute eingetroffen: UPS-Nachrichten.

Thema: UPS Delivery Notification, Tracking Number 146B3289500146

Wichtige Zustellinformationen
Kontrollnummer:
2W44U26949187244
Zustelldatum/-zeit:
09. March 2015 / 09:51:36 vormittags
Sendungsdetails : 2W44U26949187244Phishingmail

Also: Alles, was irgendwie zu Tests mit irgendwelchen TAN aufruft, ist ein Betrugsversuch!

So sieht dann beispielsweise die Aufforderung zum TAN-Test auf. Bei der Fehlermenge muss man von Absicht ausgehen. Auf diese Aufforderung werden sicherlich nur unaufmerksame Menschen reagieren – die sich besonders gut als Opfer eignen. Der Text selbst ist alt, scheint aber noch gut zu funktionieren.

Der untere Text wird bei nach Anmeldung in die normale Banking-Seite “eingeschleust”. Die Inhalte werden also im normalen Design der Bank dargestellt, ein typisches Verhalten für eine Schadsoftware, die innerhalb des Browsers arbeitet.

Aktuell klappt die Infektion nur gut mit genossenschaftlichen Bankkonten – die Sparkassenverbindung ließ sich nicht stabil und schnell aufbauen.

Sehr geehrte Kundin/sehr geehrter Kunde,

Eine neue, verbesserte Online-Banking-Schutzanlage wird in unserer Bank implementiert. Sie umfasst die folgenden Funktionen:

– SMS und TAN-Generation-Systeme Prüfung;
– Schutz vor unbefugtem Zugriff (Phishing);
– Prüfung Ihres Browsers auf Sicherheitslücken.

Zu Ihrer eigenen Sicherheit, wird der Zugriff auf Ihr Konto per Online-Banking für Sie begrenzt werden, bis Sie eine kurze Schulung auf einem Demokonto zu vervollständigen.

Bitte lesen Sie die folgenden Kurzanleitung:

Die erste Testphase wird durch Drücken der Taste “Login Demokonto” beginnen: Sie werden auf eine neue Seite weitergeleitet, wo Sie ein Demokonto zugreifen können. Die Informationen um das Demokonto eingeben wird automatisch ausgefüllt werden.
Sie werden auf die zweite Testphase beim Eintritt ins Demokonto umgeleitet werden (bitte drücken “Login Demokonto” um fortzufahren).
Der Testprozess erfordert einen Testüberweisung. Sobald die Prüfung Ihres Browsers abgeschlossen ist, werden Sie eine Testseite zu sehen.
Alle notwendigen Daten werden nach dem Zufallsprinzip generiert und dort ausgefüllt werden.
Sie werden benötigt, um Ihre TAN-Generator (Chip TAN) oder Ihr Telefon Prüfung (SMS TAN) je nach Ihrer Konfiguration zu verwenden.
Sie müssen die korrekte TAN gewähren, ohne Fehler!
Wenn Sie einen Fehler machen, wird die Schutzanlage eine Warnung angezeigt, und Sie werden auf Ihrem Internet-Banking-Konto zurückgegeben werden.
Im Fehlerfall er wird automatisch analysiert werden; Sie erhalten ein neues Testverfahren nächstes Mal, wenn Sie Online-Banking eingeben angeboten werden.
Wenn Sie Ihre SMS-Benachrichtigungsdienst aktiviert haben, werden Sie eine erfolgreiche Prüfung gemeldet werden.

Login Demokonto

Server-Administratoren kennen sicherlich die hilfreichen Tools von Sysinternals, seit 2006 eine Microsoft-Tochter. Darunter gibt es seit langem das Programm “Autoruns”, das sehr hilfreich beim Auffinden der beim Windows-Start quersitzenden Programme ist. Die Sysinternals Tools sind nun aber etwas sperrig, komplex zu bedienen und natürlich in Englisch, so dass sich kommerzielle Aufräum-Tools (z.B. CC-Cleaner) eher für den Normaluser eignen.

Die neue Version des “Autoruns”-Tools lohnt sich nun aber auch für jeden, der die Startvorgänge seines Rechners prüfen möchte, denn auch Schadsoftware will ja nach einem Reboot wieder gestartet werden.

Die neue Version des Programms bietet nun die Möglichkeit, auf einfache Weise die gefundenen Programme gegen die Virustotal-Datenbank (inzwischen Google) zu prüfen. Dabei wird nicht jedes Programm hochgeladen, sondern nur die Prüfsumme der Datei wird gecheckt, so dass sich der Traffic in Grenzen hält.

Hier bei Heise gefunden – und hier steht auch eine kleine Anleitung:

http://www.heise.de/newsticker/meldung/Autoruns-macht-Jagd-auf-Viren-2534717.html

Uiui,
jetzt werden schon die Banken beim Phishing vermischt. Macht ja nichts, merkt ja keiner.
Hier wird das Logo “EuroExpresszahlung” von der Sparkasse für eine Volksbank Phishing-Mail missbraucht. Mich würde hier die Statistik des Webservers der Sparkasse interessieren. Wie oft wird das Bild wohl heruntergeladen?

Ich verlinke das Bild absichtlich nicht. Wer unbedingt das Logo sehen möchte, muss den Link in die Browseradresse kopieren.
https://portal.sska.de/ifdata/72050000/IPSTANDARD/3/content/www/pixel/gv_hinweise/express_ohne_hinweis.jpg

Schnell überweisen in Deutschland und Europa Mit der EURO-Expresszahlung online ist Ihr Auftrag schneller beim Empfänger als mit einer normalen Überweisung – sowohl in Deutschland als auch in Europa. Der Preis einer EURO-Expresszahlung online beträgt 10,00 Euro. —————————————————————————-

27. November 2014 um 04:21:51 Uhr

Wir haben den Volksbank benachrichtigt, dass der Artikel verschickt werden kann. Alle Details zu dieser Zahlung:
Zahlungsbestätigung – 552479999799.

Betrugsmail Volksbank

Die Zahlungsbestätigung verweist im Link, einer Zip-Datei, natürlich auf einen gehackten Server.

Ber “Den Volksbank”? Naja, da hat der automatische Übersetzer google-Translate wohl nicht bemüht…

 

Da schickt mir Phoebe eine Mail mit Anhang “video.zip”?

Re:Hallo bitte geben Sie mir nur eine Minute Ihrer Zeit. Ok? Phoebe. Gesendet von meinem Asus MeMO Pad.

Ganz schön wortkarg, die liebe Phoebe.  Achso, sie tippt auf einem Tablett – da würde ich mich natürlich auch kurzfassen wollen.

Der Anhang?

Soll mich wohl neugierig machen, das Video von Phoebe.

Wir wissen ja, wohin das führt. Das gezippte “Video” ist in Wirklichkeit ein scr-Datei, “scr” steht für” Screensaver”. Aha, also ein ausführbarer Windows-Bildschirmschoner,  natürlich ein Virus. Hätte mich auch gewundert, was für ein tolles Video in 97 kb verborgen sein könnte 😉

Irgendwie bin ich ja neugierig, was meine Wine-Umgebung daraus machen würde – aber ich glaub, ich lasse das vorerst. Wenn ich Zeit finde werde ich mal eine virtuelle Maschine damit glücklich machen.

Das Ergebnis bei Virustotal ist so eindeutig, eindeutiger geht es nicht mehr. Interessant, der erste Scan war bereits im September! Kann ich daraus schließen, dass  die Masche also so erfolgreich ist?

Bildschirmfoto vom 2014-10-05 19:39:16

 

Jetzt krieg ich aber Angst: Ist das der Anmeldschlub vom blauen Stern oder könnte ich eventuell einen Anmeldeschluss verpassen?

Ansich ist dieser Spam ja nicht bemerkenswert, es zeigt aber folgendes: Nicht immer befindet sich ein trojanisches Pferd in der Mail selbst, auch die Verlinkung wird verwendet. Wahrscheinlich sind die Zielseiten Opfer eines Hackerangriffes geworden und verteilen nun die böse Schmutzware.

Anmeldeschlub

Wir schicken ihnen die Kopie des Prozesses, der erfolgreich abgeschlossen wurde.
Sie konnen das Gerat zu sehen
[link entfernt]/Dokumentation.DocMail Veranderung in der Anforderung

Hello ,

Sunday, July 20, 2014, 6:28:49 PM, you wrote:

Mit dieser Nachricht berichten wir ihnen, dass ihre Dokumentation erfolgreich erhalten und archiviert wurde, wir danken fur die Zusammenarbeit.
Um detaillierte Informationen anzuzeigen, gehen Sie zu

[link entfernt]Informationen.zip
— Best regards, Tel.: (+49) 234 xxxx

Mail Anmeldeschlub
Ist es ein Zufall, dass eine Telefonnummer aus meiner Umgebung genutzt wurde?

Die Absendemailadresse stammt aus einer Mailadresse, die sich mit dem Thema Spam (“Frühstücksfleisch”) beschäftigt. Ganz interessant ist die orkanspaltung.de Seite, eine Beispielseite für eine Spamfalle. Ich verlinke sie absichtlich nicht, denn das könnte dem Projekt hier schaden. Diesen Link hier setze ich aber gerne:
http://www.heise.de/ix/NiX-Spam-filtert-auf-dem-Mailserver-476624.html

Auch diese Anhänge können doch nur  trojanische Pferde sein:

Anwaltsschreiben

Guten Tag,

Am 30.07.2014 wurde von Ihrem PC mit der IP-Addresse 24.28.197.36 um 13:55:45 der Film “Elysium” heruntergeladen. Nach §19a UrhG ist dies ein krimineller Verstoß. Unsere Anwaltskanzlei muss dies ans zuständige Gericht eskalieren, außer Sie Zahlen ein außergerichtliches Strafgeld in Höhe von 175.98 Euro an uns.
Die Rechnung “5338.cab” entnehmen Sie dem Anhang.

Hochachtungsvoll,
Heila V.

(Name von mir geändert, falls es diese Person geben sollte)Mail vom Anwalt

Die Endung cab sagt natürlich alles. Cab-Dateien sind Cabinet-Dateien, u.a. Microsoft packt in dieses Format die Installationsdateien.

Und die Telekom-Mail?

Sie enthält ein vermeintliches pdf mit Endung zip. PDF müssen nicht gezippt werden, diese sind eigentlich bereits komprimiert.Telekom

Sehr geehrte Kundin, sehr geehrter Kunde,

Ihre Kündigung wurde erfolgreich versendet. Sobald wir Ihr Anliegen bearbeitet haben, erhalten Sie dazu noch eine Bestätigung mit allen Daten.

Mit freundlichen Grüßen
Ihre Telekom

_____________________________________________________________________________
Die gesetzlichen Pflichtangaben finden Sie unter www.telekom.de/Pflichtangaben

Mail von der Telekom Mobil

 

Da schreibt mir doch jshong mal endlich wieder an meine webmaster-Adresse und will wohl unseren Kontakt aufbessern. Hm, jshong. Woher kenn ich den nur? War das Josef Stefan Hong? Oder Jupp Shong? Mist, mein Namensgedächtnis war auch schon mal besser.

Virus_mal_wieder

Klasse: Zwei Anhänge, einmal RAR-komprimiert und einmal als Zip. damit man auf jeden Fall irgendwie die Datei geöffnet kriegt. Ein Fuchs, der Absender.

Das Image, dass möchte ich natürlich gerne mal “nackt” sehen und lade die Zip bei Jotti hoch.

Virus_erschreckend

Erschreckend oder? Gerade mal ein einziger Scanner findet die Dateiverschlüsselung “suspicious”.

Bei Virustotal waren es wenigstens 3 aus 49 und meine positive Meinung über malwarebytes wird einmal mehr bestätigt. Die anderen Scanner kenne ich allerdings auch nicht.

Virustotal_Malware

Ich hab es zwei Stunden später bei Virustotal noch einmal probiert, diesmal waren es dann 5 Scanner, darunter “Sophos”, den Namen kenne ich natürlich auch.