{"id":23473,"date":"2020-03-30T17:23:40","date_gmt":"2020-03-30T15:23:40","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=23473"},"modified":"2020-03-30T17:23:40","modified_gmt":"2020-03-30T15:23:40","slug":"coronavirus-corporate-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/coronavirus-corporate-phishing\/23473\/","title":{"rendered":"Coronavirus als K\u00f6der"},"content":{"rendered":"

E-Mails, die Gesch\u00e4ftskorrespondenzen mit sch\u00e4dlichen Anh\u00e4ngen imitieren, sind nichts Neues. Tats\u00e4chlich haben wir derartige Junk-E-Mails bereits seit \u00fcber drei Jahren unter Beobachtung. Je besser die Fake-E-Mail jedoch ist, desto h\u00f6her ist auch die Wahrscheinlichkeit, dass das nichtsahnende Opfer auf diese Masche hereinf\u00e4llt.<\/p>\n

Derartiges Phishing ist besonders gef\u00e4hrlich f\u00fcr Mitarbeiter von Unternehmen, die Waren verkaufen, da E-Mails mit Liefer- oder Bestellanfragen v\u00f6llig normal sind. Sogar jemand, der darauf trainiert ist, eine F\u00e4lschung zu erkennen, kann manchmal Schwierigkeiten haben, festzustellen, ob es sich bei einer Nachricht um Phishing oder um eine legitime Bestellung eines Kunden handelt. Daher w\u00e4chst die Anzahl \u00fcberzeugender Fake-E-Mails weiter, obwohl sie l\u00e4ngst noch nicht so h\u00e4ufig anzutreffen sind wie herk\u00f6mmlicher b\u00f6sartiger Spam. Dies liegt jedoch daran, dass sie f\u00fcr einen bestimmten Zweck entwickelt und an bestimmte Adressen gesendet werden.<\/p>\n

In den letzten Wochen haben Betr\u00fcger den Ausbruch des Coronavirus ausgenutzt, um derartigen Mails zus\u00e4tzliche Glaubw\u00fcrdigkeit zu verleihen. In den E-Mails werden h\u00e4ufig Zustellungsprobleme im Zusammenhang mit dem Coronavirus genannt, die den Empf\u00e4nger dazu veranlassen, sich zu fragen, von welcher Bestellung die Rede ist. In anderen F\u00e4llen nutzen Angreifer die Pandemie, um auf die dringende Bearbeitung einer Anfrage zu dr\u00e4ngen, da ihre \u00fcblichen Partner Waren nicht rechtzeitig liefern k\u00f6nnen. Was auch immer der Fall sein mag, das Ziel ist es, das Opfer dazu zu bringen, einen sch\u00e4dlichen Anhang zu \u00f6ffnen. Standardtricks werden als Vorwand verwendet und beinhalten normalerweise eine Anfrage zur \u00dcberpr\u00fcfung von Versanddetails, Zahlungsdaten, einer Bestellung oder Produktverf\u00fcgbarkeit.<\/p>\n

Im Folgenden finden Sie einige spezifische Beispiele f\u00fcr diese Art von Phishing und die damit verbundenen Risiken.<\/p>\n

Versp\u00e4tete Lieferung<\/h2>\n

Die Betr\u00fcger geben an, dass es aufgrund von Covid-19 zu Lieferverz\u00f6gerungen kommt. Im Anhang f\u00fcgen sie netterweise die aktualisierten Lieferinformationen zusammen mit neuen Anweisungen bei. Insbesondere fragen sie, ob die Lieferzeit angemessen ist, und fordern den Empf\u00e4nger auf, die angeh\u00e4ngte Datei zu \u00f6ffnen, die auf den ersten Blick wie eine Rechnung im PDF-Format aussieht.<\/p>\n

\"\"
\nAnstelle einer Rechnung befindet sich jedoch ein NSIS-Installationsprogramm, das ein sch\u00e4dliches Skript ausf\u00fchrt, im Anhang. Das Skript startet dann einen Standardprozess f\u00fcr cmd.exe und f\u00fchrt b\u00f6sartigen Code aus. Auf diese Weise wird der Code im Rahmen eines legitimen Prozesses ausgef\u00fchrt, wobei Standardabwehrmechanismen umgangen werden. Das Ziel ist es, die Handlungen des Benutzers auszuspionieren. Unsere E-Mail-Sicherheitsprodukte erkennen diese Bedrohung als Trojan-Spy.Win32.Noon.gen.<\/strong><\/p>\n

Eilauftrag<\/h2>\n

Die Betr\u00fcger behaupten, dass ihre chinesischen Lieferanten aufgrund des Ausbruchs des Coronavirus ihren Verpflichtungen nicht nachkommen k\u00f6nnen. Es klingt unter den gegenw\u00e4rtigen Umst\u00e4nden \u00fcberzeugend genug. Um ihre Kunden nicht zu entt\u00e4uschen, versuchen sie angeblich, einige Waren (in der Mail nicht angegeben) bei dem Unternehmen, bei dem der Empf\u00e4nger arbeitet, dringend zu bestellen. Welches Unternehmen kann einer solchen pl\u00f6tzlichen Gelegenheit widerstehen?<\/p>\n

\"\"
\n\u00dcberraschung! Die angeh\u00e4ngte Datei enth\u00e4lt keinen solchen Auftrag, sondern Backdoor.MSIL.NanoBot.baxo. Beim Start wird b\u00f6sartiger Code im legitimen RegAsm.exe-Prozess ausgef\u00fchrt (um Verteidigungsmechanismen zu umgehen). Dies f\u00fchrt dazu, dass die Angreifer Fernzugriff auf den Computer des Opfers erhalten.<\/p>\n

Ein weiterer Eilauftrag<\/h2>\n

Hierbei handelt es sich um eine Variation des oben genannten Falls. Wieder erw\u00e4hnt der Betr\u00fcger, dass ein fiktiver chinesischer Lieferant Lieferprobleme hat, und erkundigt sich nach Preisen und Lieferbedingungen f\u00fcr Waren, die in einer angeh\u00e4ngten DOC-Datei aufgef\u00fchrt sind.<\/p>\n

\"\"Hier wird eine DOC-Datei aus einem ganz bestimmten Grund verwendet. Diese enth\u00e4lt n\u00e4mlich ein Exploit, das auf die Sicherheitsanf\u00e4lligkeit CVE-2017-11882 in Microsoft Word abzielt (unsere L\u00f6sungen erkennen sie als Exploit.MSOffice.Generic<\/strong>). Beim \u00d6ffnen wird die Backdoor Backdoor.MSIL.Androm.gen<\/strong> heruntergeladen und ausgef\u00fchrt. Wie bei allen Backdoors besteht das Ziel darin, Fernzugriff auf das infizierte System zu erhalten.<\/p>\n

Die Zeit rennt!<\/h2>\n

Dieses Programm richtet sich an Unternehmen, bei denen aufgrund der Coronavirus-Pandemie (eine recht gro\u00dfe Gruppe und stetig wachsende Zahl) Workflow-St\u00f6rungen auftreten. Die Betr\u00fcger dr\u00e4ngen den Empf\u00e4nger zum Handeln und dr\u00fccken gleichzeitig die Hoffnung aus, dass das Unternehmen nach der St\u00f6rung des Coronavirus die Arbeit wieder aufnehmen kann.<\/p>\n

\"\"
\nAnstelle einer Bestellung enth\u00e4lt der Anhang allerdings den Trojaner Trojan.Win32.Vebzenpak.ern<\/strong>. Beim Start wird b\u00f6sartiger Code im legitimen RegAsm.exe-Prozess ausgef\u00fchrt. Ziel ist es erneut, den Angreifern Fernzugriff auf den gef\u00e4hrdeten Computer zu erm\u00f6glichen.<\/p>\n

So sch\u00fctzen Sie sich vor b\u00f6swilligen E-Mail-Anh\u00e4ngen<\/h2>\n

Befolgen Sie diese Tipps, um zu verhindern, dass Cyberkriminelle Ihnen einen Trojaner oder einen Backdoor in Anhangform unterschieben:<\/p>\n