Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail

Es ist ein neuer Verschlüsselungstrojaner im Umlauf. Goldeneye tarnt sich als Bewerbungs-E-Mail und nimmt Bezug auf offene Stellenausschreibungen.

Die E-Mails sind in fehlerfreiem Deutsch verfasst und verwenden eine korrekte Anrede, die zu der Zieladresse passt.

goldeneye-mail2

Der Schadcode versteckt sich in einem Excel-Anhang der E-Mail. Wenn der Nutzer die angehängte Excel-Datei öffnet, wird er im Dokument darum gebeten, die "Bearbeitungsfunktion" des eingesetzten Tabellenkalkulationsprogramms zu aktivieren. Auf diesem Weg wird Excel erlaubt, Makros auszuführen. Der Trojaner beginnt dann mit der Verschlüsselung von Daten auf dem Rechner, um anschließend Lösegeld zu fordern.

Zur Tarnung hängt der E-Mail auch ein Bewerbungs-Anschreiben (PDF) an, welches ebenfalls sehr authentisch wirkt und auf den vermeintlichen Lebenslauf im Excel-Anhang verweist. Die E-Mails werden überwiegend im Namen "Rolf Drescher" von verschiedenen Adressen nach dem Schema "rolf.drescher@" versandt. Es ist nicht auszuschließen, dass auch andere gefälschte Absender in Umlauf sind.

Woher die Drahtzieher die E-Mail-Adressen von Personalverantwortlichen in den Zielfirmen haben, ist momentan nicht klar. Aber es ist auffällig, dass die Angreifer Zugriff auf eine große Anzahl gültiger aktueller Stellenausschreibungen haben.

Status DATEVnet

Momentan wird der Verschlüsselungstrojaner von vielen Virenscannern noch nicht erkannt. Mithilfe des DATEV Mail-Radars konnte das Auftreten der gefälschten Bewerbungs-E-Mails schnell erkannt und sofort Gegenmaßnahmen ergriffen werden. Seit dem 06.12.2016 werden diese E-Mails als schädlich eingestuft und abgewiesen.