Spionage-Angriff auf deutsche Anwaltskanzleien

27.04.2016 13:05 Uhr Ronald Eikenberg

Online-Ganoven versuchen derzeit, einen Trojaner in hiesige Anwaltskanzleien einzuschleusen. Die Täter verschicken gut angepasste Mails im Namen anderer Kanzleien.

Derzeit läuft ein gezielter Spionage-Angriff auf Anwälte in Deutschland. Online-Ganoven verschicken einen Trojaner an die Juristen, der die Opfer nach der Infektion umfassend ausspähen kann. Die mutmaßlichen Hintermänner sind keine Unbekannten: Es handelt sich anscheinend um die Dridex-Gang, der auch der Krypto-Trojaner Locky [1] zugeschrieben wird.

Eine der Mails, die Online-Ganoven derzeit an hiesige Anwälte verschicken.

Der Trojaner wird über Mails verteilt, die gut auf die Empfängergruppe zugeschnitten sind. Der Betreff einer heise Security vorliegenden Nachricht lautet "Schmidtke ./. DKV 3900965/2016" – das steht für "Fall Schmidtke gegen DKV (Deutsche Krankenversicherung), Aktenzeichen 3900965/2016". Der vermeintliche Absender, eine Rechtsanwältin, bittet den Empfänger, die angehängte Datei zur Kenntnis zu nehmen. Im Anhang befindet sich eine Datei namens FAC604296.zip, die eine stark obfuskierte Skript-Datei enthält. Diese lädt den eigentlichen Schädling nach und führt ihn aus.

Bei dem Schädling handelt es sich um dem Dridex-Bot [2], der häufig als Banking-Trojaner zum Einsatz kommt. Die Täter steuern den Bot über Command-and-Control-Server (C&C) und können ihm darüber etwa den Befehl erteilen, Daten abzugreifen oder weiteren Schadcode aus dem Internet nachzuladen. (rei [3])

URL dieses Artikels:
https://www.heise.de/-3189778

Links in diesem Artikel:
[1] https://www.heise.de/news/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html
[2] https://www.virustotal.com/en/file/0cb971685a8229b9c8a5c8302804f09b6c1a73dcde1cfa842323e5c1e5bd7183/analysis/
[3] mailto:rei@heise.de