Emotet phisht mit Spam-E-Mails nach Bankzugangsdaten deutschsprachiger Nutzer
Microsoft hat bekannt gemacht, dass eine neue Variante der Win32/Emotet-Malware aufgetaucht sei, die es auf die Bankzugangsdaten deutschsprachiger Nutzer abgesehen hat. Bei Emotet kommen Phishing-Betrugsmails zum Einsatz, die angebliche Forderungen wie gefälschte Bankabrechnungen oder -auszüge enthalten (selbst angeblich von PayPal), mit denen Nutzer dazu verleitet werden sollen, auf Links zu klicken. Laut Berichten werden Nutzer von Emotet sogar mit täuschend echt aussehenden Telefonrechnungen geködert. Die Spam-E-Mails sind nur schwer zu blockieren, da gehackte E-Mail-Konto zum Einsatz kommen, um Nutzern den Spam zuzustellen. Falls der Absender der E-Mail eine generische E-Mail-Adresse oder eine verwendet, die vom E-Mail-Server nicht erkannt wird, besteht eine hohe Wahrscheinlichkeit, dass die E-Mail als Spam erkannt wird und im Spamordner landet oder gar gelöscht wird. Leider ist dies hier nicht der Fall. Die Spam-E-Mails enthalten in etwa folgendes:
„Ihre Überweisung
Guten Tag,
Ihre Überweisung wurde storniert, bevor wir Kontakt mit der Bank aufnehmen konnten.
Weitere Informationen finden Sie hier: Ihre Überweisung
Mit freundlichen Grüßen, Ihre Volksbank„
Sobald Sie auf den Hyperlink klicken, wird eine ZIP-Datei mit einer ausführbaren Datei als Inhalt heruntergeladen. Der Dateiname ist ziemlich lang, um die .exe-Erweiterung der Datei zu verschleiern. Diese sehen wie folgt aus:
-
de_0000239029_rechnung_scan_hp_28_0000000904_page_2_10_01_05_id_00291002098.exe
-
E-Card_zu_Weichnachten_scan_foto_2834792347_12_2014_21093812_000129_001_004_002910.exe
-
Informationen_Kontobewegung_dezember_2014_de_20_8139_237_90109238_000129_000028_05.exe
Die E-Mail enthält ebenso eine PDF-Datei als Anhang, auf die Nutzer klicken sollen. Nach dem Download wird Malware auf dem Computer der Nutzer installiert. Sobald die Malware ausgeführt wird, überwacht sie die Netzwerkaktivitäten und eignet sich Online-Banking-Zugangsdaten an, wenn der Nutzer sich auf der Website seiner Bank anmeldet. Ebenso kann die Malware E-Mail-Konto-Zugangsdaten und Passwörter aus Messaging-Anwendungen abgreifen. Die Daten werden dann an den Command & Control-Server des Hackers zurückgeliefert.
Microsoft fand dabei heraus, dass die Malware Zugangsdaten aus folgenden Quellen abgreift:
- Gmail-Benachrichtigungen
- Google Desktop
- Google Talk
- Group Mail
- Mozilla Thunderbird
- MSN oder Windows Live Messenger
- Netscape 6 und Netscape 7
- Windows Mail und Windows Live Mail
- Yahoo! Messenger
Wie bei jeder neuen oder bestehenden Bedrohung sollten Sie niemals Anhänge öffnen oder Links anklicken, die Ihnen nicht vertraut sind. Diese Phishing-Angriffe sind immer noch von Erfolg gekrönt, da immer noch Nutzer auf die gleichen Tricks hereinfallen. Ihre beste Waffe zum Schutz Ihrer Identität liegt darin, wachsam zu sein. Sollte etwas seltsam aussehen oder Sie sich unsicher sein, dann klicken Sie besser nicht auf diesen Link oder öffnen nicht diesen Anhang. Emsisoft Anti-Malware sollte ebenfalls aktiv sein. Lassen Sie sich nicht eiskalt erwischen – denn darauf sind Hacker aus.