Goldeneye, ein neuer Verschlüsselungstrojaner, sucht sich gezielt Personalverantwortliche in Firmen als Opfer. Dabei nehmen die E-Mails mit dem Schadcode im Anhang Bezug auf tatsächlich offene Stellenausschreibungen der jeweiligen Firma. In fehlerfreiem Deutsch sind die E-Mails verfasst und verwenden eine korrekte Anrede, die zu der Zieladresse passt. Das CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt bereits auch davor.

Im Namen "Rolf Drescher" werden diese E-Mails von verschiedenen Adressen nach dem Schema "rolf.drescher@" versandt. Nach den Recherchen von heise Security stemmen die E-Mails aller Wahrscheinlichkeit nach nicht von diesen Absendern und es scheint sich um eine Racheaktion zu handeln. Denn für Opfer bietet die Ingenieursoziätät Dipl.- Ing. Rolf B. Drescher VDI & Partner Entschlüsselungshilfe des Trojaners Petya an und die Drahtzieher wollen sich wohl deswegen rächen. Außerdem hat der Goldeneye-Trojaner viel mit Petya gemeinsam.

Eine Sprecherin der Firma sagte in einem Gespräch mit heise Security, dass die E-Mails nicht von deren Systemen versandt worden seien. Seit dem 06.12.2016 werde die Firma geradezu von Anfragen zu diesem Thema überrannt und habe den Geschäftsbetrieb zum Erliegen gebracht. Es wurde bereits Anzeige gegen Unbekannt erstattet.

Noch ist nicht klar, woher die Drahtzieher die E-Mail-Adressen von Personalverantwortlichen in den Zielfirmen haben, da einige der E-Mail-Adressen interne sind, die in den entsprechenden Stellenausschreibungen nicht genannt werden. Dass die Angreifer sehr viele gültige Stellenausschreibungen mit den richtigen Stellenbeschreibungen vorliegen haben, ist auch auffällig. Momentan sollten Personalverantwortliche auf jeden Fall aufmerksam sein und keine per E-Mail eingehenden Excel-Dateien öffnen und von denen sie nicht ganz sicher wissen, dass sie nicht infiziert sind.

Außerdem haben mehrere Leser von heise Security berichtet, dass sie E-Mails erhalten haben, an denen neben der schadcodebehafteten XLS-Datei auch noch ein PDF angehängt war. Wie eine legitime Bewerbung wirkt die PDF, in der das Unternehmen und dessen Personalverantwortliche gezielt angesprochen werden und nimmt Bezug auf konkrete Stellen, die bei dem Unternehmen offen sind. Über recht tiefgehende branchentypische Informationen scheinen die Angreifer zu den Unternehmen zu verfügen.

Weiterhin wurde berichtet, dass die korrekte Telefonnummer und Adresse des angeblichen Absenders der E-Mail in der PDF genannt wurde. Daher scheint es nicht verwunderlich, dass Personaler die ebenfalls beigefügte XLS-Datei öffnen und die Makros aktivieren, wenn sie dazu aufgefordert werden.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE