Zum Inhalt wechseln


Foto

Trojaner per Bewerbung (Petya)


  • Bitte melde dich an um zu Antworten
20 Antworten in diesem Thema

#1 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 06. Dezember 2016 - 13:49

Mal so zur Warnung.

Wir haben heute per Email eine Bewerbung für einen tatsächlich ausgeschriebenen AP im Unternehmen erhalten.

Die Mail war im perfektem deutsch verfasst und war auch an den richtigen Ansprechpartner im Unternehmen gerichtet!

Im Anhang ein PDF als Bewerbungsanschreiben mit Bild und Adresse des Bewerbers und eine Excel-Datei mit dem 'Qualifikationsprofil' des Bewerbers.

 

Die AV-Filter auf der Firewall und auf unserem Mailgateway haben die Mail um 09.00 Uhr passieren lassen!

Zum Glück, handelte es sich um einen Massenversand, so dass der Filter die Mail entsprechend kategorisiert hatte und Sie nicht an den User zugestellt wurde. Ich musste auch erst 3 mal schauen, bevor ich die Mail als problematisch eingestuft hab!

Die Excel-Datei war mit dem Verschlüsselungstrojaner 'Petya' verseucht.

 

Als besonderen 'Scherz' haben die Versender der Datei als Bewerber den hier genannten Herrn D. angegeben:

https://petyaransomw...-a-ransomware/ 

Na ja, Humor scheinen Sie zu haben.

 

Inzwischen wird die Version auch von unserem AV-Scanner erkannt.

Da kann einem echt Angst und Bange werden...



#2 zahni

zahni

    Expert Member

  • 16.497 Beiträge

 

Geschrieben 06. Dezember 2016 - 13:57

Achtung: Ich hatte auch gerade ein Sample: Die neuen Versionen des VBA-Codes laden offenbar verwürfelten oder verschlüsselten Code nach, der erst vom VBA-Code in eine ausführbare Exe umgewandelt wird.

Das kann dann u.U. einen Proxy umgehen, der einen Content-Filter verwendet.

 

Beispiel:

 

URL

 

https://www.virustot...sis/1481031404/

 

Das was dort heruntergeladen wird:

 

https://www.virustot...sis/1481030620/


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 Sunny61

Sunny61

    Expert Member

  • 22.225 Beiträge

 

Geschrieben 06. Dezember 2016 - 14:13

Achtung: Ich hatte auch gerade ein Sample: Die neuen Versionen des VBA-Codes laden offenbar verwürfelten oder verschlüsselten Code nach, der erst vom VBA-Code in eine ausführbare Exe umgewandelt wird.
Das kann dann u.U. einen Proxy umgehen, der einen Content-Filter verwendet.


Und die EXE wird dann im %TEMP% erzeugt und soll in %TEMP% ausgeführt werden?
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#4 zahni

zahni

    Expert Member

  • 16.497 Beiträge

 

Geschrieben 06. Dezember 2016 - 14:22

Soweit habe ich  es  nicht probiert. Ich gehe mal davon aus.

SRP ist bei uns natürlich an....


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#5 Sunny61

Sunny61

    Expert Member

  • 22.225 Beiträge

 

Geschrieben 06. Dezember 2016 - 14:40

Wenn dem so ist, SOLLTE dank SRP ja nicht passieren, aber Danke trotzdem für den Hinweis. ;)
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 Gulp

Gulp

    Expert Member

  • 3.980 Beiträge

 

Geschrieben 06. Dezember 2016 - 15:42

Heise hat auch was dazu:

 

https://www.heise.de...nt-3561396.html

 

Grüsse

 

Gulp


Mein Name ist Homer von Borg! Widerstand ist zw .... Oh Doughnuts!

#7 NorbertFe

NorbertFe

    Expert Member

  • 30.910 Beiträge

 

Geschrieben 06. Dezember 2016 - 17:55

Und schon gibt's Leute die da drauf klicken. In der Mail hängt ein PDF und ne xls. Ansonsten sieht die relativ gut gemacht aus.

Make something i***-proof and they will build a better i***.


#8 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 06. Dezember 2016 - 19:16

ist die PDF auch verseucht?


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#9 NorbertFe

NorbertFe

    Expert Member

  • 30.910 Beiträge

 

Geschrieben 06. Dezember 2016 - 19:18

Muss ich mal ranschaffen lassen. Hab nur nen Screenshot vom Kollegen Bekommen.

Make something i***-proof and they will build a better i***.


#10 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 06. Dezember 2016 - 19:25

Bei Office-Makroviren sollten(!) die meisten User mittlerweile schon misstrauisch werden. Aber bei PDFs und Flash, weiß ichs nicht. 


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#11 monstermania

monstermania

    Board Veteran

  • 1.201 Beiträge

 

Geschrieben 07. Dezember 2016 - 06:50

Und schon gibt's Leute die da drauf klicken. In der Mail hängt ein PDF und ne xls. Ansonsten sieht die relativ gut gemacht aus.

Jo,

ist bisher das Beste was ich je gesehen hab!!!

Keine Fehler im Anschreiben und ein eindeutiger Bezug auf eine tatsächliche Stellenausschreibung unseres Unternehmens. Dazu wurde sowohl im Anschreiben als auch in der Email der richtige Ansprechpartner adressiert.

Wie bereits geschrieben machte mich eigentlich nur die 'drängende' Aufforderung im PDF, dass die Excel-Datei zu öffnen sei stutzig und ließ alle Alarmglocken angehen.

Die gleiche Mail mit einem Word-Anhang und ohne diese Aufforderung hätte ich wohl an den zuständigen Mitarbeiter weitergeleitet!  :rolleyes:

Ob die Restriktionen geholfen hätten, will ich lieber nicht ausprobieren.



#12 martins

martins

    Board Veteran

  • 1.034 Beiträge

 

Geschrieben 07. Dezember 2016 - 16:28

Muss ich mal ranschaffen lassen. Hab nur nen Screenshot vom Kollegen Bekommen.

Eine Kopie kann ich dir gerne zukommen lassen! ;)

 

Das PDF scheint erstmal sauber zu sein, versucht offenbar (lt. TCPView) keinen Verbindungsaufbau nach draußen. Das PDF ist ein ganz normales Anschreiben mit Bild des "Bewerbers", personalisiert auf den Namen der entsprechenden Ansprechaprtnerin in der Personalabteilung. 



#13 NorbertFe

NorbertFe

    Expert Member

  • 30.910 Beiträge

 

Geschrieben 07. Dezember 2016 - 18:12

Dann stellt sich ja wieder mal die Frage, wie jemand auf die Idee kommen kann, eine xls könnte eine ernsthafte Bewerbung sein.

Make something i***-proof and they will build a better i***.


#14 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 07. Dezember 2016 - 18:44

ist bisher das Beste was ich je gesehen hab!!!

Dahinter steckt eine wachstums- und gewinnorientierte, durchorganisierte Mafia.

 

- Einer ist der Pate

- Einer schreibt den MalwareCode. Der Programmierer heute scheint derselbe zu sein, von dem auch der Code zu früheren Ransom-Angriffen stammt.

- Einer guckt die Opfer aus und erstellt das Anschreiben

- Einer kümmert sich um den Zahlungseingang

etc.

 

Beim nächsten Mal werden die Angriffe wieder besser sein. "Lessons learnt".


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#15 NorbertFe

NorbertFe

    Expert Member

  • 30.910 Beiträge

 

Geschrieben 07. Dezember 2016 - 18:47

Hab inzwischen auch was vom KOllegen übermittelt bekommen. Falls Interesse besteht, kann ich das gezippt zur Verfügung stellen.

Make something i***-proof and they will build a better i***.