Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Nachrichten IT/Computer Neue Spam-Welle spült Ransomware in E-Mail-Postfächer

Neue Spam-Welle spült Ransomware in E-Mail-Postfächer

Archivmeldung vom 31.01.2019

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 31.01.2019 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Thorsten Schmitt
Spam
Spam

Bild: pixelio.de, Antje Delater

Vor einem dramatischen Anstieg gefährlicher Spam-Mails mit JavaScript-Anhängen warnt der europäische IT-Security-Hersteller ESET. Diese sind nicht nur lästig, sondern haben zudem die Ransomware namens "Shade" (oder auch "Troldesh") im Gepäck. Wer den JavaScript-Anhang unvorsichtigerweise anklickt, aktiviert ihn und lädt sich ungewollt die Erpressersoftware auf den eigenen Rechner. Aktuell schwappt die Spam-Welle von Russland aus in Richtung Deutschland.

"Bereits von Oktober bis Mitte Dezember 2018 beobachteten wir eine Spam-Kampagne, die Shade einsetzte. Seit Januar 2019 erleben wir wohl den Nachfolger", sagt Thomas Uhlemann, Security Specialist von ESET. Neben Russland sind die Ukraine, Frankreich und nun auch Deutschland betroffen. Offensichtlich stehen Unternehmen ganz gezielt im Fokus der Angreifer: "ESET-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren. Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne", erläutert Uhlemann.

Shade-Ransomware "alter Bekannter"

Erstmals entdeckten Experten die Verschlüsselungs-Malware im Jahr 2014, die seitdem immer wieder mal ab- und auftauchte. Die Ransomware ist imstande, eine Vielzahl an Dateitypen auf der Festplatte zu verschlüsseln. Die Opfer der Angriffe können dann nicht mehr auf ihre im Rechner gespeicherten Informationen zugreifen. Sie erhalten lediglich die von anderen Angriffen dieser Art bekannten Zahlungsanweisungen. Diese Aufforderungen sind in einer TXT-Datei in Russisch und Englisch auf allen Laufwerken des infizierten Computers abgelegt.

Verbreitung per E-Mail und über manipulierte WordPress-Seiten

In Spam-Mails wird das JavaScript als getarnter Anhang "Information" versendet. Einmal extrahiert, lädt das Script einen bösartigen Loader herunter, der von ESET-Produkten als Win32/Injector erkannt wird. Das Perfide an der Methode ist die vermeintliche Quelle des sogenannten Loaders: Die Malware-Entwickler missbrauchen legitime WordPress-Webseiten als unfreiwillige Hosts. Diese werden über massive Brute-Force-Angriffe von Bots gekapert und dienen dann als Speicher für Bilddateien, die mit Schadcode verseuchten sind. ESET entdeckte bereits Hunderte dieser Dateien im Internet, die alle auf "ssj.jpg" enden. Um sich gegenüber dem Betriebssystem zu legitimieren, ist der Loader darüber hinaus mit einer vermeintlichen Signatur von Comodo versehen. Dadurch wird seine Identifizierung im System erschwert.

Schadcode tarnt sich als Systemprozess

Um sich noch besser zu tarnen, gibt sich der Loader als legitimer Systemprozess Client Server Runtime Process (csrss.exe) aus. Die Schadsoftware kopiert sich selbst in C:\ProgramData\Windows\Windows\csrss.exe, wobei "Windows" ein versteckter Ordner ist, der von der Malware erstellt wurde. Er befindet sich normalerweise nicht im ProgramData-Verzeichnis. Die Malware, die sich nun als Systemprozess ausgibt, verwendet Versionsdetails, die von einer legitimen Windows Server 2012 R2-Binärdatei kopiert wurden.

So kann man sich effektiv schützen

Um nicht Opfer der neuen Ransomware-Welle zu werden, sollten Anwender immer die Authentizität von E-Mails prüfen, bevor sie Anhänge öffnen oder auf Links klicken. Für Gmail-Benutzer ist es nützlich zu wissen, dass Gmail JavaScript-Anhänge in empfangenen und gesendeten E-Mails bereits seit fast zwei Jahren blockiert.

Anwender können derartige Bedrohungen am besten durch einen zuverlässigen Malware-Schutz aussperren. Verschiedene Module in ESET-Sicherheitsprodukten erkennen und blockieren unabhängig voneinander bösartige JavaScript-Dateien.

Auch Betreiber von WordPress-Websites können einiges tun, um nicht von Cyberkriminellen für ihre Zwecke missbraucht zu werden. Neben dem Einsatz einer hochwertigen Sicherheitslösung gehören die Nutzung eines sicheren Passworts sowie einer Zwei-Faktor-Authentifizierung. Außerdem sollten Webseitenbesitzer unbedingt sicherstellen, dass WordPress selbst sowie WordPress-Plugins und -Designs regelmäßig aktualisiert werden.

Weitere Informationen im ESET-Blog: https://www.welivesecurity.com/2019/01/28/russia-hit-new-wave-ransomware-spam

Quelle: www.eset.com/de/Michael Klatte

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte talon in folgendes Feld um den Spam-Filter zu umgehen

Anzeige