Heute hat mich ein Beispiel für einen Versuch erreicht, Firmensysteme über eine vorgegaukelte Anfrage aus dem Ausland mit einem Trojaner zu infizieren.
Es handelt sich um folgende E-Mail:
Diese E-Mail wirkt schlicht, könnte auf den ersten Blick aber authentisch sein. Einige Punkte fallen wohl nur dem geschulten Auge auf:
- Die Absendeadresse benutzt die türkische Top-Level-Domäne .tr, obwohl die Signatur auf einen potentiellen Kunden in Qatar hinweist.
- Die Antwortadresse ist weder mit dem Absender identisch noch hat sie Gemeinsamkeiten mit dem Namen und der Adresse der Firma in Qatar.
- Die angehängte Datei ist ein ZIP-Archiv „Quotation.zip“.
- Es fehlt eine Empfänger-Adresse.
Tatsächlich findet sich im Quelltext der E-Mail die Empfänger-Adresse nur als x-envelope-to, was ein sehr ungewöhnlicher Eintrag für die Empfänger-Adresse ist und ebenfalls auf irgendeine Schurkerei hindeutet.
Wenn das Archiv gespeichert und geöffnet wird, entpackt man daraus eine Datei namens „Quotation.exe“. Unter Windows zeigt diese ein besonderes Symbol, das mir leider nicht bekannt ist, und die Endung „.exe“ wäre bei den standardmäßigen Einstellungen von Windows nicht zu sehen.
Lesen Sie hier, wie man die unsichere Ausblendung von Dateiendungen in allen Versionen von Windows seit Win95 ändert.
Ein Eintrag „Enable/Disable Digital Signature Icons“, der im Zusammenhang mit AutoCAD / AutoDESK-Dateien steht und im Kontextmenü der Datei auftaucht, deutet darauf hin, dass die beiliegende Datei möglicherweise mit einem voraussichtlich gefälschten oder gestohlenen Zertifikat signiert wurde. Aber es handelt sich um eine ausführbare Datei, die, wenn man sie auf virustotal.com zur Prüfung hochlädt, deutliche Hinweise auf Trojaner zeigt. Es fallen die Namen Zbot, Barys, Kryptik und iBryte.
Ein Doppelklick auf diese Datei würde also einen Trojaner installieren!
