Neue Malware-Welle

NCSC warnt vor Pseudo-Bestellbestätigungen

Uhr
von Joël Orizet und slk

Cyberkriminelle versuchen zurzeit besonders häufig, Schadsoftware über angebliche Bestellbenachrichtigungen zu verbreiten. Ebenfalls hoch im Kurs sind gefälschte Erpresserschreiben im Namen von Strafverfolgungsbehörden.

(Source: Song_about_summer / AdobeStock)
(Source: Song_about_summer / AdobeStock)

Das Nationale Zentrum für Cybersicherheit (NCSC) hat in der vergangenen Woche einen hohen Meldeeingang verzeichnet. Zwei Arten von Vorgehen seien besonders verbreitet. Mittels gefälschter Bestellbenachrichtigungen versuchen Kriminelle, eine Fernzugriffs-Schadsoftware zu verteilen. Zudem verbreiten sich die gefälschten Erpresserschreiben von angeblichen Strafverfolgungsbehörden – neu sind diese Schreiben auch in Deutsch verfasst, wie das NCSC mitteilt.

Im Falle der gefälschten Bestellbenachrichtigungen geht es in der Regel um Kreditkarten-Phishing. Teilweise würden die Empfänger aber auch aufgefordert, PaySafe-Karten zu kaufen und die Codes zu übermitteln.

Allgemein gehaltener HTML-Anhang

Das NCSC berichtet nun aber von einer neuen Vorgehensweise: Per Mail behaupten die Kriminellen, eine Bestellung sei eingegangen und diese würde nun bearbeitet. Die Betrüger hinterlassen absichtlich keine Hinweise auf irgendeinen Verkäufer oder Kaufgegenstände. In der Mail steht nur eine nichtssagende Bestellnummer.

Im Anhang befindet sich eine Datei im HTML-Format mit einem kryptischen Namen. Beim Ausführen dieser Datei muss das Herunterladen einer weiteren Datei im ISO-Format erlaubt werden. Spätestens hier sollten laut dem NCSC alle Alarmglocken läuten.

Der HTML-Anhang führt zum Download von Schadsoftware. (Source: NCSC)

Im vorliegenden Fall beinhaltete das Programm eine Schadsoftware namens AsyncRAT. Die Abkürzung RAT steht für "Remote Access Tool" und führt dazu, dass ein Angreifer von aussen auf den infizierten Computer zugreifen, gespeicherte Daten stehlen sowie andere Schadsoftware nachladen und installieren kann, um beispielsweise die Eingabe von Passwörtern auslesen zu können.

Beim Öffnen der HTML-Datei kommt die Information zum Download einer ISO-Datei. (Source: NCSC)

In Verdachtsfällen rät das NCSC:

  • Misstrauen Sie allen E-Mail-Benachrichtigungen, welche Sie unaufgefordert erhalten;

  • Seien Sie besonders misstrauisch, wenn Sie eine Datei öffnen oder herunterladen sollen;

  • Erlauben Sie Ihrem Computer in keinem Fall, auf diese Weise erhaltene Dateien auszuführen;

  • Melden Sie solche Cybervorfälle dem NCSC und senden Sie falls möglich die betreffende E-Mail zu.

Fake Extortion im Namen der Polizei – jetzt auch auf Deutsch

In den vergangenen Wochen häuften sich auch Betrugsversuche mit gefälschten Erpresserschreiben (Fake Extortion). In den E-Mail-Eingängen und Spam-Ordnern von Schweizer Bürgerinnen und Bürgern landeten tausende solcher Drohschreiben im Namen von fast einem Dutzend unterschiedlicher Strafverfolgungsbehörden, unter anderem mit gefälschten Logos von Cybercrimepolice.ch und Police.ch.

Die Mails waren hauptsächlich auf Französisch verfasst und sollten Nutzerinnen und Nutzer aus der Romandie in die Falle locken. Nun tauchen vermehrt auch E-Mails von diesem Typ im Tessin (mit italienischen Behörden-Logos) und in der Deutschschweiz (mit deutschen Behörden-Logos) auf.

Gefälschte Erpresserschreiben auf Französisch, Italienisch und Deutsch. (Source: NCSC)

In den E-Mails stehen laut dem NCSC drastische Vorwürfe im Namen von wahllos zusammengewürfelten Strafverfolgungsbehörden gegen die Empfänger. Ziel ist es, die Empfänger zu einer Antwort an die im Schreiben genannte E-Mail-Adresse zu bringen. Wenn sich jemand bei den Betrügern meldet, versprechen diese, gegen Zahlung einer hohen vierstelligen Geldsumme die angeblichen Vorwürfe fallen zu lassen.

Doch wer bezahlt, kommt in die Bredouille. Wie das NCSC schreibt, kommen die Betrüger in solchen Fällen immer wieder mit neuen Geldforderungen, bis das Opfer schliesslich den Betrug erkennt und nicht mehr zahlt.

Das NCSC meldet die von den Angreifern verwendeten E-Mail-Adressen an die entsprechenden E-Mail-Provider – aktuell sind es in den meisten Fällen E-Mail-Konten von Studentinnen und Studenten verschiedener Universitäten. In einigen Fällen habe man den weiteren Versand solcher E-Mails auf diese Weise stoppen können.

Das NCSC rät:

  • Lassen Sie sich nicht unter Druck setzen und reagieren Sie nicht auf solche Drohungen;

  • Ignorieren Sie solche Nachrichten und markieren Sie diese als Spam.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_247177