Categories: SicherheitVirus

Malware Goldeneye zielt auf deutsche Personalabteilungen

Der Sicherheitsdienstleister Checkpoint veröffentlicht Details zu GoldenEye, einer Variante der bereits bekannten Erpressersoftware Petya. Sie macht sich den Umstand zunutze, dass Personalabteilungen zur Bearbeitung von Bewerbungen häufig E-Mails und Dateianhänge aus unbekannten Quellen öffnen.

Den Sicherheitsforschern zufolge haben es die Cyberkriminellen derzeit vor allem auf Ziele im deutschen Sprachraum abgesehen. Die Schadsoftware verstecken sie in E-Mails, die angeblich von Bewerbern stammen. An die Nachrichten sind eine harmlose PDF-Datei und eine Excel-Datei mit gefährlichen Makros angehängt.

In solchen Excel-Dateien ist der virtuelle Schädling eingebettet. (Bild: CheckPoint)

Der Name der Excel-Datei setzt sich stets aus dem Namen des angeblichen Bewerbers und dem Wort “Bewerbung” zusammen. Wird die Datei geöffnet, erscheint eine Blumengrafik mit dem Logo der Agentur für Arbeit und der Aufforderung, die “Bearbeitungsfunktion” von Excel zu aktivieren, um das Kompetenzprofil des Bewerbers anzuzeigen.

Die Aktivierung der zuvor von Excel vorsorglich gesperrten Inhalte führt direkt zur Verschlüsselung der Dateien des Opfers im Hintergrund. Zur Dateiendung einer verschlüsselten Datei fügt Goldeneye eine zufällige achtstellige Zeichenkette hinzu. Erst danach wird eine erste Lösegeldforderung angezeigt.

Darüber hinaus erzwingt GoldenEye einen Neustart, um schließlich die gesamte Festplatte zu verschlüsseln. Dieser Vorgang wiederum wird, wie schon bei früheren Petya-Varianten, mit einer gefälschten CheckDisk-Meldung getarnt. Nach Abschluss dieses Vorgangs hat das Opfer nur noch Zugriff auf eine Lösegeldforderung auf Boot-Ebene. Sie fordert den Nutzer auf, mithilfe des Tor-Browsers einen Entschlüsselungskey zu kaufen. Das in Bitcoin zu zahlende Lösegeld beträgt 1000 Dollar.

Checkpoint zufolge ist es nicht das erste Mal, dass sich Cyberkriminelle deutschsprachige Personalabteilungen als Opfer ausgesucht haben. Im vergangenen Jahr habe bereits die Ransomware Cerber versucht, Nutzer mit gefälschten Bewerbungen zu täuschen. Die Sicherheitsforscher halten es für wahrscheinlich, dass hinter beiden Kampagnen dieselben Täter stecken.

Bereits Anfang Dezember hatten Polizeidienststellen und CERT Bund vor der Malware Goldeneye gewarnt. Checkpoint hat nun die technischen Hintergründe nachgeliefert. Die Polizei empfahl bereits im Dezember, die den Mails angehängte Datei unter keinen Umständen zu öffnen und auch die Makro-Funktion im Office-Paket nicht zu aktivieren. Dem Absender sollte sgeantwortet werden, da davon auszugehen sei, dass für den Versand fremde Mail-Konten missbraucht werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Mehr als 2 Millionen Downloads: Erneut Android-Malware im Play Store entdeckt

Bitdefender findet insgesamt 35 bösartige Apps im offiziellen Android-Marktplatz. Sie tarnen und verschlüsseln ihren Schadcode,…

24 Stunden ago

Fake-Shop Detector entlarvt Online-Betrüger

Fake-Shops im Internet werden zahlreicher und zugleich schwieriger zu erkennen. Unterstützung beim Aufspüren der Betrüger…

2 Tagen ago

Malware-Schutz: ein Stückchen mehr Sicherheit in unsicheren Zeiten

Corona. Ukraine-Krieg. Inflation. Das allgemeine Unsicherheitsgefühl in Deutschland ist über die letzten Jahre hinweg stark…

2 Tagen ago

Insellösungen erhöhen Risiko von Ransomware-Bedrohungen

Veritas-Studie zeigt: Isolierte Kubernetes-Implementierungen können zu Datenverlusten führen.

2 Tagen ago

Fortinet meldet deutlichen Anstieg der Ransomware-Varianten im ersten Halbjahr

Die Zahl der Varianten verdoppelt sich auf fast 11.000. Geschäftsmodelle wie Ransomware-as-a-Service machen Cybererpressung offenbar…

2 Tagen ago

Apple schließt Zero-Day-Lücken in iOS, iPadOS und macOS Monterey

Betroffen sind iOS und iPadOS 15.6 sowie macOS Monterey 12.5. Unbefugte können unter Umständen Schadcode…

2 Tagen ago