Achtung: Angebliches eFax birgt Trojaner
Ein angebliches Fax befördert Ransomware auf den Rechner des Empfängers.
Mehrere heise-Security-Leser berichten von E-Mails, die sie über ein angebliches eFax informieren. Wer auf diese Trojaner-Mail reinfällt, fängt sich einen Erpressungs-Trojaner ein. Dabei wirkt das Anschreiben durchaus überzeugend:
Faxnachricht fur <email>
Sie haben am Donnerstag, 01.10.2019, ein einseitiges Fax erhalten.
* die Referenznummer fur dieses Fax ist an efax-0245...
Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.
Bei einem Klick auf den folgenden Download-Link erhält man die oben abgebildete DOC-Datei, die zum "Inhalt aktivieren" auffordert. Das ist im Grunde der gleiche Trick, den auch bereits Emotet einsetzt, um die Ausführung von Makros einschalten zu lassen.
Bei der angeblichen eFax-Mail kommt der Erpressungs-Trojaner Buran zum Einsatz. Der wurde bisher vor allem über Drive-By-Downloads auf speziell präparierten Websites verteilt und verschlüsselt Daten, die er dann erst nach Zahlung eines Lösegelds wieder freigibt. Buran gehört eher in die Kategorie Brot-und-Butter-Ransomware; er geht bei weitem nicht so raffiniert vor, wie das infame Trio Emotet+Trickbot+Ryuk.
Trojaner-Abwehr
Bei eFax handelt es sich eigentlich um einen legitimen Dienst, dessen Logo hier missbraucht wird. Die Trojaner-Docs werden ĂĽber die folgenden Domains verteilt
cloudefax[.]site
efaxcloud[.]site
efaxdeliver[.]site
efaxdelivery[.]site
deliveryefax[.]site
corporateefax[.]site
die man etwa auf der Firewall sperren kann. Diese Liste hat das CERT-Bund zusammengestellt. (ju)
