Achtung: Angebliches eFax birgt Trojaner

Ein angebliches Fax befördert Ransomware auf den Rechner des Empfängers.

In Pocket speichern vorlesen Druckansicht 98 Kommentare lesen
Achtung: Angebliches eFax birgt Trojaner
Lesezeit: 1 Min.

Mehrere heise-Security-Leser berichten von E-Mails, die sie über ein angebliches eFax informieren. Wer auf diese Trojaner-Mail reinfällt, fängt sich einen Erpressungs-Trojaner ein. Dabei wirkt das Anschreiben durchaus überzeugend:

Faxnachricht fur <email>

Sie haben am Donnerstag, 01.10.2019, ein einseitiges Fax erhalten.
* die Referenznummer fur dieses Fax ist an efax-0245...

Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.

Bei einem Klick auf den folgenden Download-Link erhält man die oben abgebildete DOC-Datei, die zum "Inhalt aktivieren" auffordert. Das ist im Grunde der gleiche Trick, den auch bereits Emotet einsetzt, um die Ausführung von Makros einschalten zu lassen.

Bei der angeblichen eFax-Mail kommt der Erpressungs-Trojaner Buran zum Einsatz. Der wurde bisher vor allem über Drive-By-Downloads auf speziell präparierten Websites verteilt und verschlüsselt Daten, die er dann erst nach Zahlung eines Lösegelds wieder freigibt. Buran gehört eher in die Kategorie Brot-und-Butter-Ransomware; er geht bei weitem nicht so raffiniert vor, wie das infame Trio Emotet+Trickbot+Ryuk.

Bei eFax handelt es sich eigentlich um einen legitimen Dienst, dessen Logo hier missbraucht wird. Die Trojaner-Docs werden über die folgenden Domains verteilt

cloudefax[.]site
efaxcloud[.]site
efaxdeliver[.]site
efaxdelivery[.]site
deliveryefax[.]site
corporateefax[.]site

die man etwa auf der Firewall sperren kann. Diese Liste hat das CERT-Bund zusammengestellt. (ju)