Wer eine E-Mail mit dem Betreff "Bewerbung für die ausgeschriebene Stelle" oder "Bewerbung auf Ihre Stellenausschreibung" erhält, sollte aufpassen, denn es ist wieder eine Trojaner-Welle unterwegs. Absender und Betreffzeile der Nachrichten variieren. Der Dateiname des Dokuments besteht aus Ziffern – beispielsweise 418177678.doc – und es ist mit Makros versehen. Beim öffnen der Datei kommt eine Aufforderung die Makros zu aktivieren, um die Kompatibilität zu gewährleisten und das Dokument lesen zu können.

Unter keinen Umständen sollte der Aufforderung Folge geleistet werden. Ansonsten würde sich der Erpressungstrojaner Gandcrab auf den PC einschleusen, haben Sicherheitsforscher von Hornet Security herausgefunden. Ihnen zufolge öffnen die Makros ein verstecktes Terminal, um mit PowerShell Kommandos auszuführen und so Gandcrab herunterzuladen und auszuführen. Anschließend verschlüsselt der Schädling Dateien und fordert ein Lösegeld.

In dieser Kampagne nutzen die Drahtzieher einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Die Dokumente werden mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können. Zum Zeitpunkt der Meldung schlug keiner der 58 Scanner der Analyseplattform Virustotal an.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE