Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
monstermania

Trojaner per Bewerbung (Petya)

Empfohlene Beiträge

Mal so zur Warnung.

Wir haben heute per Email eine Bewerbung für einen tatsächlich ausgeschriebenen AP im Unternehmen erhalten.

Die Mail war im perfektem deutsch verfasst und war auch an den richtigen Ansprechpartner im Unternehmen gerichtet!

Im Anhang ein PDF als Bewerbungsanschreiben mit Bild und Adresse des Bewerbers und eine Excel-Datei mit dem 'Qualifikationsprofil' des Bewerbers.

 

Die AV-Filter auf der Firewall und auf unserem Mailgateway haben die Mail um 09.00 Uhr passieren lassen!

Zum Glück, handelte es sich um einen Massenversand, so dass der Filter die Mail entsprechend kategorisiert hatte und Sie nicht an den User zugestellt wurde. Ich musste auch erst 3 mal schauen, bevor ich die Mail als problematisch eingestuft hab!

Die Excel-Datei war mit dem Verschlüsselungstrojaner 'Petya' verseucht.

 

Als besonderen 'Scherz' haben die Versender der Datei als Bewerber den hier genannten Herrn D. angegeben:

https://petyaransomwarehilfe.wordpress.com/victim-of-a-ransomware/ 

Na ja, Humor scheinen Sie zu haben.

 

Inzwischen wird die Version auch von unserem AV-Scanner erkannt.

Da kann einem echt Angst und Bange werden...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Achtung: Ich hatte auch gerade ein Sample: Die neuen Versionen des VBA-Codes laden offenbar verwürfelten oder verschlüsselten Code nach, der erst vom VBA-Code in eine ausführbare Exe umgewandelt wird.

Das kann dann u.U. einen Proxy umgehen, der einen Content-Filter verwendet.

 

Beispiel:

 

URL

 

https://www.virustotal.com/de/url/0f01553b39549add03f36090cc18ef77f427e55be6f82f64415baec131c70e91/analysis/1481031404/

 

Das was dort heruntergeladen wird:

 

https://www.virustotal.com/de/file/cfdb4534b9f4387a3a1039569977215ff1211dbee4a0b0ca961395e509ee012f/analysis/1481030620/

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Achtung: Ich hatte auch gerade ein Sample: Die neuen Versionen des VBA-Codes laden offenbar verwürfelten oder verschlüsselten Code nach, der erst vom VBA-Code in eine ausführbare Exe umgewandelt wird.

Das kann dann u.U. einen Proxy umgehen, der einen Content-Filter verwendet.

Und die EXE wird dann im %TEMP% erzeugt und soll in %TEMP% ausgeführt werden?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Und schon gibt's Leute die da drauf klicken. In der Mail hängt ein PDF und ne xls. Ansonsten sieht die relativ gut gemacht aus.

Jo,

ist bisher das Beste was ich je gesehen hab!!!

Keine Fehler im Anschreiben und ein eindeutiger Bezug auf eine tatsächliche Stellenausschreibung unseres Unternehmens. Dazu wurde sowohl im Anschreiben als auch in der Email der richtige Ansprechpartner adressiert.

Wie bereits geschrieben machte mich eigentlich nur die 'drängende' Aufforderung im PDF, dass die Excel-Datei zu öffnen sei stutzig und ließ alle Alarmglocken angehen.

Die gleiche Mail mit einem Word-Anhang und ohne diese Aufforderung hätte ich wohl an den zuständigen Mitarbeiter weitergeleitet!  :rolleyes:

Ob die Restriktionen geholfen hätten, will ich lieber nicht ausprobieren.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Muss ich mal ranschaffen lassen. Hab nur nen Screenshot vom Kollegen Bekommen.

Eine Kopie kann ich dir gerne zukommen lassen! ;)

 

Das PDF scheint erstmal sauber zu sein, versucht offenbar (lt. TCPView) keinen Verbindungsaufbau nach draußen. Das PDF ist ein ganz normales Anschreiben mit Bild des "Bewerbers", personalisiert auf den Namen der entsprechenden Ansprechaprtnerin in der Personalabteilung. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ist bisher das Beste was ich je gesehen hab!!!

Dahinter steckt eine wachstums- und gewinnorientierte, durchorganisierte Mafia.

 

- Einer ist der Pate

- Einer schreibt den MalwareCode. Der Programmierer heute scheint derselbe zu sein, von dem auch der Code zu früheren Ransom-Angriffen stammt.

- Einer guckt die Opfer aus und erstellt das Anschreiben

- Einer kümmert sich um den Zahlungseingang

etc.

 

Beim nächsten Mal werden die Angriffe wieder besser sein. "Lessons learnt".

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×