Bei Gesprächen über das Thema Diebstahl von Anmeldedaten werden E-Mails mit Phishing-Links meistens zuerst genannt. Allerdings ist diese Art von E-Mails nur eine Methode, um Benutzernamen und Passwörter für diverse Online-Dienste zu stehlen. Betrüger senden mit gewisser Regelmäßigkeit auch weiterhin Links, die zu Spyware führen. Einer der Tricks, der hierfür verwendet wird, besteht darin ein Bild einzufügen, das wie ein E-Mail-Anhang aussieht.
E-Mail mit schädlichem Link
Heute werden wir einen zielgerichteten Angriff unter die Lupe nehmen. Die betreffenden Cyberverbrecher haben sich viel Mühe gegeben die E-Mail glaubwürdig zu gestalten – sie schickten eine Anfrage mit technischen Spezifikationen „im Anhang“ an einen Anbieter für industrielle Dienstleistungen und Geräte.
Industrieunternehmen erhalten recht oft Anfragen dieser Art. Deshalb öffnen Account Manager in der Regel Dokumente mit spezifischen Vorgaben, um einen Kostenvoranschlag zu erstellen, ohne darauf zu achten, dass es kleine Unterschiede gibt, wie beispielsweise zwischen dem Domainname und der Unterschrift. Darauf werden wir jetzt nicht genauer eingehen, denn was uns heute interessiert ist, wie die Cyberverbrecher es schaffen die Malware auf dem Computer des Opfers auszuführen. So sieht die E-Mail aus:
Sehen Sie die PDF-Datei im Anhang? Auch wenn es schwer zu glauben ist, ist das überhaupt kein Anhang. Outlook zeigt E-Mail-Anhänge zwar auf eine ähnliche Weise an, aber wenn Sie genau hinschauen, werden Sie einige Unterschiede erkennen:
- Das Symbol des Anhangs sollte genauso aussehen, wie das Symbol der PDF-Anwendung, die auf dem Computer installiert ist. Ist das nicht der Fall, dann handelt es sich entweder nicht um einen Anhang oder der Anhang ist keine PDF-Datei.
- Die Daten der Datei – Name, Dateityp, Größe – werden angezeigt, wenn Sie mit dem Mauszeiger über einen echten Anhang fahren. Der Link einer suspekten Webseite sollte auf jeden Fall nicht angezeigt werden.
- Der Pfeil neben dem Datei-Namen sollte beim Darüberfahren farblich markiert werden. Klicken Sie den Pfeil an, wird bei einem Anhang ein Drop-down-Menü geöffnet.
- E-Mail-Anhänge befinden sich in einem separaten Bereich, nicht im Haupt-Text der Nachricht und sehen in etwa so aus:
Bei dem als PDF-Anhang getarnten Element handelt es sich in Wirklichkeit um ein Bild. Das können Sie schnell überprüfen, indem Sie entweder den Abschnitt mithilfe der Maus markieren oder per Tastenkombination [Strg] + [A] alles auswählen.
Hinter dem harmlos aussehenden Bild ist ein Link zu einem schädlichen Programm versteckt. Durch das Anklicken des Bildes wird automatisch Trojaner-Spyware heruntergeladen.
Schädliche Payload
In diesem konkreten Fall führt der Link zu einer Datei mit dem Namen Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab, die einen Loader für einen Trojaner enthält, der von Kaspersky als Trojan-Spy.Win32.Noon identifiziert wird. Es handelt sich um eine recht gewöhnliche Trojaner-Spyware. Diese Spyware ist seit 2017 bekannt und ermöglicht es den Angreifern Passwörter und andere Informationen in Eingabeformularen zu stehlen.
So können Sie sich schützen
Installieren Sie eine zuverlässige Sicherheitslösung auf jedem Gerät mit Internetverbindung, um diese vor Trojaner-Spyware und anderer Malware zu schützen.
Darüber hinaus ist es wichtig Ihre Mitarbeiter darin zu schulen Internetbetrug in E-Mails zu erkennen.