Vor einigen Wochen berichtete ich über eine Reihe von E-Mails, die sich als Rechnung, Gutschrift oder Bestellung wirklich existierender oder existiert habender Firmen ausgaben. Diese E-Mails wurden von ebenfalls echten E-Mail-Konten der besagten Firmen versendet, zu denen sich die Verteiler vorab wohl Zugang verschafft hatten. Die angehängten Dokumente waren jedoch natürlich keine legitime Geschäftskorrespondenz, sondern entpuppten sich als Microsoft Office-Dokumente mit bösartigem Makrocode darin, der als Downloader beliebige Schadsoftware nachzuladen versuchte, z.B. Verschlüsselungstrojaner.
Neue Variante: Post vom Scanner
Schadsoftware-E-Mails vom eigenen Dokumenten-Scanner
Jetzt ist eine neue Variante dieser E-Mails aufgetaucht, die es unnötig macht, zuerst einmal ein E-Mail-Konto einer Firma zu knacken.
Viele Firmen verwenden heutzutage Kopierer und Scanner mit E-Mail-Funktion. Diese Geräte erhalten eine eigene firmeninterne E-Mail-Adresse, die als Absender eingescannter Dokumente fungiert, die dann wiederum Mitarbeitern als E-Mail-Anhang zugestellt werden.
Die aktuelle Welle von Schadsoftware-E-Mails macht sich diesen Umstand zunutze. Firmen erhalten E-Mails mit dem Absender scanner@firmenname.de oder auch konica-minolta@firmenname.de, mfd@firmenname.de und einem Betreff wie „Message from KONICA_MINOLTA“. Die Domäne, die jeweils verwendet wird, ergibt sich aus der in regulären E-Mails der Firma verwendeten Domäne oder der Webseite. Es soll der Eindruck erweckt werden, dass auf einem Scanner der Firma ein Dokument gescannt und an den Empfänger der E-Mail gesendet wurde.
Die E-Mail-Absenderadressen sind natürlich einfach gefälscht, die Dokumente stammen nicht von einem Scanner der Firma. Die Angreifer spekulieren vielmehr darauf, dass solche E-Mails von Bürogeräten nicht mit Firmenpapier oder ähnlichen Merkmalen versehen sind, sondern lediglich ganz schmucklos daherkommen und gescannte Anhänge transportieren. In den vorliegenden Beispielen wird z.B. angenommen, dass ein Gerät von Konica-Minolta verwendet wird oder der Name zumindest für vertrauenerweckend gehalten wird, so dass man den Anhang öffnet. Die Angreifer gehen davon aus, dass der Empfänger solche E-Mails kennt und schon früher empfangen hat und sie deshalb ohne Misstrauen öffnet.
Öffnet man aber das der E-Mail beigefügte Word-Dokument, befindet sich darin wie gehabt Makrocode, der, wenn er zur Ausführung kommt, Schadsoftware aus dem Internet nachlädt, bevorzugt Verschlüsselungstrojaner, mit denen Lösegeld für ansonsten unwiederbringlich verschlüsselte Daten erpresst werden soll.
