monstermania 53 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Mal so zur Warnung. Wir haben heute per Email eine Bewerbung für einen tatsächlich ausgeschriebenen AP im Unternehmen erhalten. Die Mail war im perfektem deutsch verfasst und war auch an den richtigen Ansprechpartner im Unternehmen gerichtet! Im Anhang ein PDF als Bewerbungsanschreiben mit Bild und Adresse des Bewerbers und eine Excel-Datei mit dem 'Qualifikationsprofil' des Bewerbers. Die AV-Filter auf der Firewall und auf unserem Mailgateway haben die Mail um 09.00 Uhr passieren lassen! Zum Glück, handelte es sich um einen Massenversand, so dass der Filter die Mail entsprechend kategorisiert hatte und Sie nicht an den User zugestellt wurde. Ich musste auch erst 3 mal schauen, bevor ich die Mail als problematisch eingestuft hab! Die Excel-Datei war mit dem Verschlüsselungstrojaner 'Petya' verseucht. Als besonderen 'Scherz' haben die Versender der Datei als Bewerber den hier genannten Herrn D. angegeben: https://petyaransomwarehilfe.wordpress.com/victim-of-a-ransomware/ Na ja, Humor scheinen Sie zu haben. Inzwischen wird die Version auch von unserem AV-Scanner erkannt. Da kann einem echt Angst und Bange werden... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Achtung: Ich hatte auch gerade ein Sample: Die neuen Versionen des VBA-Codes laden offenbar verwürfelten oder verschlüsselten Code nach, der erst vom VBA-Code in eine ausführbare Exe umgewandelt wird. Das kann dann u.U. einen Proxy umgehen, der einen Content-Filter verwendet. Beispiel: URL https://www.virustotal.com/de/url/0f01553b39549add03f36090cc18ef77f427e55be6f82f64415baec131c70e91/analysis/1481031404/ Das was dort heruntergeladen wird: https://www.virustotal.com/de/file/cfdb4534b9f4387a3a1039569977215ff1211dbee4a0b0ca961395e509ee012f/analysis/1481030620/ Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Achtung: Ich hatte auch gerade ein Sample: Die neuen Versionen des VBA-Codes laden offenbar verwürfelten oder verschlüsselten Code nach, der erst vom VBA-Code in eine ausführbare Exe umgewandelt wird. Das kann dann u.U. einen Proxy umgehen, der einen Content-Filter verwendet. Und die EXE wird dann im %TEMP% erzeugt und soll in %TEMP% ausgeführt werden? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Soweit habe ich es nicht probiert. Ich gehe mal davon aus. SRP ist bei uns natürlich an.... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Wenn dem so ist, SOLLTE dank SRP ja nicht passieren, aber Danke trotzdem für den Hinweis. ;) Zitieren Link zu diesem Kommentar
Gulp 254 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Heise hat auch was dazu: https://www.heise.de/newsticker/meldung/Aufgepasst-Neuer-Verschluesselungstrojaner-Goldeneye-verbreitet-sich-rasant-3561396.html Grüsse Gulp Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Und schon gibt's Leute die da drauf klicken. In der Mail hängt ein PDF und ne xls. Ansonsten sieht die relativ gut gemacht aus. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 ist die PDF auch verseucht? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Muss ich mal ranschaffen lassen. Hab nur nen Screenshot vom Kollegen Bekommen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. Dezember 2016 Melden Teilen Geschrieben 6. Dezember 2016 Bei Office-Makroviren sollten(!) die meisten User mittlerweile schon misstrauisch werden. Aber bei PDFs und Flash, weiß ichs nicht. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 7. Dezember 2016 Autor Melden Teilen Geschrieben 7. Dezember 2016 Und schon gibt's Leute die da drauf klicken. In der Mail hängt ein PDF und ne xls. Ansonsten sieht die relativ gut gemacht aus. Jo, ist bisher das Beste was ich je gesehen hab!!! Keine Fehler im Anschreiben und ein eindeutiger Bezug auf eine tatsächliche Stellenausschreibung unseres Unternehmens. Dazu wurde sowohl im Anschreiben als auch in der Email der richtige Ansprechpartner adressiert. Wie bereits geschrieben machte mich eigentlich nur die 'drängende' Aufforderung im PDF, dass die Excel-Datei zu öffnen sei stutzig und ließ alle Alarmglocken angehen. Die gleiche Mail mit einem Word-Anhang und ohne diese Aufforderung hätte ich wohl an den zuständigen Mitarbeiter weitergeleitet! :rolleyes: Ob die Restriktionen geholfen hätten, will ich lieber nicht ausprobieren. Zitieren Link zu diesem Kommentar
martins 11 Geschrieben 7. Dezember 2016 Melden Teilen Geschrieben 7. Dezember 2016 Muss ich mal ranschaffen lassen. Hab nur nen Screenshot vom Kollegen Bekommen. Eine Kopie kann ich dir gerne zukommen lassen! ;) Das PDF scheint erstmal sauber zu sein, versucht offenbar (lt. TCPView) keinen Verbindungsaufbau nach draußen. Das PDF ist ein ganz normales Anschreiben mit Bild des "Bewerbers", personalisiert auf den Namen der entsprechenden Ansprechaprtnerin in der Personalabteilung. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. Dezember 2016 Melden Teilen Geschrieben 7. Dezember 2016 Dann stellt sich ja wieder mal die Frage, wie jemand auf die Idee kommen kann, eine xls könnte eine ernsthafte Bewerbung sein. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 7. Dezember 2016 Melden Teilen Geschrieben 7. Dezember 2016 ist bisher das Beste was ich je gesehen hab!!! Dahinter steckt eine wachstums- und gewinnorientierte, durchorganisierte Mafia. - Einer ist der Pate - Einer schreibt den MalwareCode. Der Programmierer heute scheint derselbe zu sein, von dem auch der Code zu früheren Ransom-Angriffen stammt. - Einer guckt die Opfer aus und erstellt das Anschreiben - Einer kümmert sich um den Zahlungseingang etc. Beim nächsten Mal werden die Angriffe wieder besser sein. "Lessons learnt". Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. Dezember 2016 Melden Teilen Geschrieben 7. Dezember 2016 Hab inzwischen auch was vom KOllegen übermittelt bekommen. Falls Interesse besteht, kann ich das gezippt zur Verfügung stellen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.