it-sicherheit.li

News rund um IT-Sicherheit

Kategorie: Trojaner

Diese Rechnung wird teuer.

November 13, 2018 / / Keine Kommentare

Nach langer Abwesenheit melden wir uns wieder einmal zurück mit einer neuen Virus Epidemie.

Zur Zeit werden vermehrt falsche Rechnungen per E-Mail versendet.  Meistens werden diese Mails von vermeintlichen Kollegen versendet und beinhalten ein Word Dokument.

Die Mails sind von vertrauenswürdigen Absender, in gutem Deutsch verfasst und mit glaubhaftem Text verfasst.

Der Betreff der Mail lautet meistens auf „Invoice“ oder „Rechnung“

 

Die Meldung die angezeigt wird lässt vermuten das sich in diesem Word Dokument ein Makro befindet.

Wenn dieses Word Dokument jedoch geöffnet wird, wird eine Verbindung zu einem Command and Control Server aufgebaut und Schadsoftware nachgeladen.

Hier liegt ein Test auf AnyRun

Bei unserem heutigen Test hat der Windows Defender die Gefahr erkannt und ein öffnen geblockt.

Auch bei einem Test mit Kaspersky wurde der Virus erkannt und in Quarantäne verschoben.

 

Bei unserem Test wurde die Datei „lanesrowset.exe“ nachgeladen. In dieser Datei wurde Emotet und Feodo entdeckt.

Emotet ist ein Virus der auf Passwort Diebstahl und Online Banking Betrug spezialisiert ist.

Feodo ist ebenfalls bekannt für das stehlen von Online Banking Daten und weiteren Informationen des Benutzers.

 

Wie immer gilt auch hier, gesunde Skepsis bei E-Mails die Sie nicht erwarten.

Schauen Sie sich die E-Mails genau an.

Fragen Sie bei Anhängen lieber bei dem Absender nach.

Im Zweifelsfall löschen Sie das E-Mail und informieren den Absender.

 

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

nRansom die nackte Wahrheit

September 26, 2017 / / Keine Kommentare

Eine etwas andere Art der Bezahlung um wieder an seine Daten respektive seinen Computer zu gelangen hat ein Mitglied des MalwrhunterTeams entdeckt.

Die neue Software wurde nRansomware genannt. Es ist eher eine Art Bildschirmsperre. Das Opfer erhält folgendes Bild und kann sich nicht mehr an seinem Computer anmelden.

Das Kuriose ist jedoch dass mit Nackbildern bezahlt wird.

Die Erpresser verlangen 10 Nacktbilder der Person sowie einen Nachweis das es wirklich um die betroffene Person handelt.

Was die Erpresser mit den Bildern anfangen ist noch nicht geklärt. Es wird vermutet dass diese Benutzt werden um weiteres Geld zu erpressen oder die Opfer bloss zustellen.

Die Verwirrung unter Security Researchern ist gross da niemand genau weiss wie mit dieser Software umzugehen ist.

nRansomeware wird jedoch bereits von Virustotal und Hybrid Analysis erkannt und gelistet.

Namhafte Virenhersteller erkennen nRansomware bereits mit Ihrer Software.

Um die Sperre zu umgehen kann gleichzeitig folgende Tasten gedrückt werden:

Ctrl + Alt + Shift + F4

Nach dem entsperren kann der Computer bereinigt werden.

Eine Anleitung für Kaspersky Internet Security findet Ihr HIER.

 

Bisher ist noch nicht bekannt wie sich nRansomware verbreitet. Durch die Möglichkeit die Sperre zu umgehen und dem bereits grossen Bekanntheitsgrad  unter den AV-Herstellern ist eine Infizierung hier kein Armutszeugnis. Aber auch hier gilt, wie bei allen Ransomware Programmen, nicht bezahlen.

Es kann nicht gesagt werden was mit den Fotos geschieht und ob diese nicht für weitere Erpressungen genutzt werden.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Hit me Baby one more time

Juni 8, 2017 / / 1 Kommentar

Das grösste Problem von Hackern ist neben „wie komme ich auf den Client“ auch, „wie kommuniziere ich mit meinen C&C Servern“

 

Sicherheitsforscher von Eset haben herausgefunden wie es die Hackergruppe Turla macht. Ihr Trojaner benutzt unter anderem den Instagram Account von Britney Spears.

Die Hacker von Turla infizieren den Browser Ihrer Opfer mit einer Firefox Extenstion. Mit dieser Erweiterung können Sie die Computer der betroffenen Personen komplett übernehmen.  Die Erweiterung gibt sich als vermeintliche Sicherheitssoftware aus und wird so freiwillig von den Benutzern heruntergeladen somit ist die erste Frage „wie komme ich auf den Client“ erledigt. Bleibt noch die zweite Frage offen.

Instagram

 

Durch einfache Kommentare auf Sozialen Netzwerken wie dem Instagram Account von Britney Spears. Mittels ein wenig Programmiermagie verbreiten die Hacker anschliessend die URL der C&C Server, als Kommentare getarnt.

Der Trojaner liest diese Kommentare aus und ermittelt daraus die URL der C&C Server.

 

So ist z.B. dieser Kommentar: #2hot make loved to her, uupss #Hot #X (inklusive der in Instagram unsichtbaren Unicode Zeichen) konvertiert, folgende URL http://bit.ly/2kdhuHX

Diese URL führt zu kompromittierten Servern von Botschaften oder Stadtverwaltungen.

Edit:

Dieser Link wurde von bit.ly bereits deaktiviert. Vermutlich werden jedoch schon neue Links im Umlauf sein.

Laut den Sicherheitsforscher ist eines der Add-Ins fr Firefox, welches diese Backdoor öffnet folgendes.

Turla

 

Bei diesem Update vom 13 April 2017 wird die Backdoor implementiert.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Durch die Nutzung dieser Website erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Nähere infos

Nähere infos Datenerfassung deaktivieren

© 2024 it-sicherheit.li

Theme von Anders NorénHoch ↑