Erste Dynamit-Phishing Welle des Jahres: Trojaner GandCrab ist zurück
Unbekannte verschicken momentan massenweise gefälschte Bewerbungen, in denen ein Verschlüsselungstrojaner lauert.
(Bild: Pixabay)
- Fabian A. Scherschel
Das CERT-Bund, die Computer-Gefahrenstelle der Bundesverwaltung, warnt aktuell vor einer Ausbruchswelle des Verschlüsselungstrojaners GandCrab, der sich wieder einmal über Bewerbungs-Unterlagen verbreitet.
Die Methode mit der zuerst der Verschlüsselungstrojaner Goldeneye deutsche Unternehmen in Verlegenheit gebracht hatte, funktioniert Jahre später offensichtlich immer noch. Immerhin sind die Angriffe verbreitet genug, um das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) betriebene CERT zu einer Warnung zu veranlassen.
(Bild: CERT-Bund)
Laut CERT-Bund verbreitet sich der Trojaner über E-Mails, die vorgeben die Bewerbung einer Person namens Saskia Heyne zu sein – Vorsicht: dieser Name kann sich im Laufe der Infektionswelle durchaus ändern. Im Anhang befindet sich ein Word-Dokument, das beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden. Ohne diesen Schritt kann der Trojaner seinen Schadcode nicht ausführen.
Das Dokument gibt vor "mit einer älteren Version von Microsoft Word erstellt" worden zu sein und versucht das Opfer dazu zu verleiten, per Kompatibilitätsmodus aktive Inhalte des Dokumente zu aktivieren. Kommen Sie dieser Anweisung auf keinen Fall nach! Die Aktivierung der Makros erlaubt es dem Trojaner, auf das System zuzugreifen und wichtige Daten zu verschlüsseln.
Nicht auf Virenscanner verlassen
Technisch gesehen ist GandCrab ein alter Hut, allerdings scheinen immer noch genügend Nutzer auf solche Tricks reinzufallen, dass sich das Versenden der Phishing-Mails lohnt. Man sollte sich auch nicht darauf verlassen, dass der auf dem System installierte Viren-Wächter den Schädling ausschaltet, bevor der Nutzer die Word-Makros aktiviert und damit den Rechner an den Trojaner ausliefert. Aktuell schlagen laut des Web-Scanners VirusTotal immer noch nicht alle AV-Programme auf den Schädling an. Und das, obwohl die Infektionsdatei schon zwei Tage alt ist.
Außerdem könnten sich bereits abgewandelte Formen des Trojaners im Umlauf befinden. Der beste Schutz vor dieser Art Angriffe ist immer noch, derart E-Mails äußerst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zu aktivieren, die nicht aus absolut vertrauenswürdigen Quellen kommen – also schon gar nicht bei Dokumenten, die man per Mail von Unbekannten erhalten hat. (fab)
