Jump to content

Trojaner per Bewerbung (Petya)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Mal so zur Warnung.

Wir haben heute per Email eine Bewerbung für einen tatsächlich ausgeschriebenen AP im Unternehmen erhalten.

Die Mail war im perfektem deutsch verfasst und war auch an den richtigen Ansprechpartner im Unternehmen gerichtet!

Im Anhang ein PDF als Bewerbungsanschreiben mit Bild und Adresse des Bewerbers und eine Excel-Datei mit dem 'Qualifikationsprofil' des Bewerbers.

 

Die AV-Filter auf der Firewall und auf unserem Mailgateway haben die Mail um 09.00 Uhr passieren lassen!

Zum Glück, handelte es sich um einen Massenversand, so dass der Filter die Mail entsprechend kategorisiert hatte und Sie nicht an den User zugestellt wurde. Ich musste auch erst 3 mal schauen, bevor ich die Mail als problematisch eingestuft hab!

Die Excel-Datei war mit dem Verschlüsselungstrojaner 'Petya' verseucht.

 

Als besonderen 'Scherz' haben die Versender der Datei als Bewerber den hier genannten Herrn D. angegeben:

https://petyaransomwarehilfe.wordpress.com/victim-of-a-ransomware/ 

Na ja, Humor scheinen Sie zu haben.

 

Inzwischen wird die Version auch von unserem AV-Scanner erkannt.

Da kann einem echt Angst und Bange werden...

Link zu diesem Kommentar

Achtung: Ich hatte auch gerade ein Sample: Die neuen Versionen des VBA-Codes laden offenbar verwürfelten oder verschlüsselten Code nach, der erst vom VBA-Code in eine ausführbare Exe umgewandelt wird.

Das kann dann u.U. einen Proxy umgehen, der einen Content-Filter verwendet.

 

Beispiel:

 

URL

 

https://www.virustotal.com/de/url/0f01553b39549add03f36090cc18ef77f427e55be6f82f64415baec131c70e91/analysis/1481031404/

 

Das was dort heruntergeladen wird:

 

https://www.virustotal.com/de/file/cfdb4534b9f4387a3a1039569977215ff1211dbee4a0b0ca961395e509ee012f/analysis/1481030620/

Link zu diesem Kommentar

Achtung: Ich hatte auch gerade ein Sample: Die neuen Versionen des VBA-Codes laden offenbar verwürfelten oder verschlüsselten Code nach, der erst vom VBA-Code in eine ausführbare Exe umgewandelt wird.

Das kann dann u.U. einen Proxy umgehen, der einen Content-Filter verwendet.

Und die EXE wird dann im %TEMP% erzeugt und soll in %TEMP% ausgeführt werden?

Link zu diesem Kommentar

Und schon gibt's Leute die da drauf klicken. In der Mail hängt ein PDF und ne xls. Ansonsten sieht die relativ gut gemacht aus.

Jo,

ist bisher das Beste was ich je gesehen hab!!!

Keine Fehler im Anschreiben und ein eindeutiger Bezug auf eine tatsächliche Stellenausschreibung unseres Unternehmens. Dazu wurde sowohl im Anschreiben als auch in der Email der richtige Ansprechpartner adressiert.

Wie bereits geschrieben machte mich eigentlich nur die 'drängende' Aufforderung im PDF, dass die Excel-Datei zu öffnen sei stutzig und ließ alle Alarmglocken angehen.

Die gleiche Mail mit einem Word-Anhang und ohne diese Aufforderung hätte ich wohl an den zuständigen Mitarbeiter weitergeleitet!  :rolleyes:

Ob die Restriktionen geholfen hätten, will ich lieber nicht ausprobieren.

Link zu diesem Kommentar

Muss ich mal ranschaffen lassen. Hab nur nen Screenshot vom Kollegen Bekommen.

Eine Kopie kann ich dir gerne zukommen lassen! ;)

 

Das PDF scheint erstmal sauber zu sein, versucht offenbar (lt. TCPView) keinen Verbindungsaufbau nach draußen. Das PDF ist ein ganz normales Anschreiben mit Bild des "Bewerbers", personalisiert auf den Namen der entsprechenden Ansprechaprtnerin in der Personalabteilung. 

Link zu diesem Kommentar

ist bisher das Beste was ich je gesehen hab!!!

Dahinter steckt eine wachstums- und gewinnorientierte, durchorganisierte Mafia.

 

- Einer ist der Pate

- Einer schreibt den MalwareCode. Der Programmierer heute scheint derselbe zu sein, von dem auch der Code zu früheren Ransom-Angriffen stammt.

- Einer guckt die Opfer aus und erstellt das Anschreiben

- Einer kümmert sich um den Zahlungseingang

etc.

 

Beim nächsten Mal werden die Angriffe wieder besser sein. "Lessons learnt".

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...