Aktuelle Phishing und Malware-Kampagne  [22.03.21]

Das CERT BWL stellt aktuell zwei Angriffsvektoren fest, die nachfolgend erläutert werden.

1. Sachverhalt – Phishing-Mail über SharePoint-Dienst

Aktuell wird über einen vermeintlichen SharePoint basierten Dienst eine E-Mail-Einladung zu einem zunächst ungefährlichen PDF-Dokument versandt. Beim Öffnen dieses „SharePoint-Dienstes“ wird man zu einer Startseite weitergeleitet, auf der man eine PDF-Datei herunterladen kann. Beim Öffnen das PDFs wird zwar hier kein Schadcode verteilt, allerdings ist in dieser PDF-Datei ein Link zu einer Phishing-Seite integriert, die zur E-Mail- und Passwort-Eingabe auffordert.

Der in dem PDF versteckte Weiterleitungs-Link sieht wie folgt aus (er wurde hier als Vorsichtsmaßnahme teilweise zensiert):

• htt**ps://siklus-**indonesia.org/**one

Sobald man draufklickt, geht es weiter zu dieser Adresse:

• http**/s://bws685taqjq.**typeform.com/**to/QEG**9XYV0

Sie sollten niemals Ihre Zugangsdaten für Ihre Benutzerkonten bei Webformularen oder Webseiten wie oben beschrieben eingeben, um eine Kompromittierung zu vermeiden

2. Sachverhalt – unverschlüsselt an eine E-Mail angehängte ZIP-Datei

Es befinden sich E-Mails mit angehängten unverschlüsselte ZIP-Dateien im Umlauf, die eine xlsm-Datei enthalten. Es handelt sich um eine E-Mail, die sich auf eine vergangene echte Unterhaltung bezieht – allerdings mit falscher Absender E-Mail-Adresse.

Die Datei enthält ein Makro, das weiteren Schadcode nachladen könnte.

Vergleichen Sie bei einem Verdachtsfall Absender und Absenderadresse, werden Sie misstrauisch bei E-Mails, die Sie nicht erwarten oder bei denen Sie den Absender nicht kennen. Seien Sie vorsichtig bei angehängten Archiven.

Bei Rückfragen wenden Sie bitte an das KIM.

Zurück zu Alle News