Aktuelle Phishing und Malware-Kampagne [22.03.21]
Das CERT BWL stellt aktuell zwei Angriffsvektoren fest, die nachfolgend erläutert werden.
1. Sachverhalt – Phishing-Mail über SharePoint-Dienst
Aktuell wird über einen vermeintlichen SharePoint basierten Dienst eine E-Mail-Einladung zu einem zunächst ungefährlichen PDF-Dokument versandt. Beim Öffnen dieses „SharePoint-Dienstes“ wird man zu einer Startseite weitergeleitet, auf der man eine PDF-Datei herunterladen kann. Beim Öffnen das PDFs wird zwar hier kein Schadcode verteilt, allerdings ist in dieser PDF-Datei ein Link zu einer Phishing-Seite integriert, die zur E-Mail- und Passwort-Eingabe auffordert.
Der in dem PDF versteckte Weiterleitungs-Link sieht wie folgt aus (er wurde hier als Vorsichtsmaßnahme teilweise zensiert):
- htt**ps://siklus-**indonesia.org/**one
Sobald man draufklickt, geht es weiter zu dieser Adresse:
- http**/s://bws685taqjq.**typeform.com/**to/QEG**9XYV0
Sie sollten niemals Ihre Zugangsdaten für Ihre Benutzerkonten bei Webformularen oder Webseiten wie oben beschrieben eingeben, um eine Kompromittierung zu vermeiden
2. Sachverhalt – unverschlüsselt an eine E-Mail angehängte ZIP-Datei
Es befinden sich E-Mails mit angehängten unverschlüsselte ZIP-Dateien im Umlauf, die eine xlsm-Datei enthalten. Es handelt sich um eine E-Mail, die sich auf eine vergangene echte Unterhaltung bezieht – allerdings mit falscher Absender E-Mail-Adresse.
Die Datei enthält ein Makro, das weiteren Schadcode nachladen könnte.
Vergleichen Sie bei einem Verdachtsfall Absender und Absenderadresse, werden Sie misstrauisch bei E-Mails, die Sie nicht erwarten oder bei denen Sie den Absender nicht kennen. Seien Sie vorsichtig bei angehängten Archiven.
Bei Rückfragen wenden Sie bitte an das KIM.
Haben Sie Fragen oder Hinweise zu dieser Seite? Kontaktformular