Banking Trojaner erreichen Unternehmen über macro-basierte Malware

Erneut versuchen Kriminelle gezielt Unternehmensrechner ,mit einer groß angelegten Spamkampagne mittels dem so genannten “Dyre Wolf “- Trojaner zu erreichen.

Zuletzt hat es der Banking-Trojaner geschafft, zehntausende Computer von ahnungslosen Anwendern erfolgreich zu infizieren und dabei die sensiblen Online-Banking Informationen des Anwenders zu stehlen. Dabei befanden sich an gefälschten E-Mails gefährliche Anhänge, welche nach Öffenen automatisch ein Script starteten, um den Banking-Trojaner automatisch auf dem System zu installieren und zu starten.

Bildschirmfoto 2015-04-30 um 13.47.05Bei dieser neuen Spam-Kampagne verfolgen die Kriminellen, über in Dokumente eingebettete “Macroviren“, einen immer wieder populären aber durchaus erfolgreichen Ansatz zur Verwirklichung ihrer Ziele. Dazu erhalten die potenziellen Opfer gefälschte E-Mails über gescheiterte Überweisungen, gefälschte Rechnungen, Faxnachrichten oder Lieferungen von Paketen. Über einen eingebetteten Link im Text der E-Mail, soll der Anwender weitere Informationen erhalten. Tatsächlich führt der Link auf eine Datei auf Bildschirmfoto 2015-04-30 um 10.14.18einer Dropbox-Seite. Um das Dokument anzuzeigen, bekommt der Anwender die Anweisung die Macros zu aktivieren. Kommt der Anwender dieser Anweisung nach, wird aber über den Bartalax-Dropper der “Dyre Banking-Trojaner” auf das System heruntergeladen, installiert und gestartet.

Die “Dyre Wolf ” Malware:

Dyre wurde zum ersten Mal im Jahr 2014 gefunden und ist dem berühmt-berüchtigten Zeus-Trojaner sehr ähnlich. Er installiert sich selbst auf dem Computer und wird nur dann aktiv, wenn der Benutzer seine Anmeldedaten auf bestimmten Websites von Banken und Kreditinstituten eingibt. Bei dieser, als “Man-in-the-Browser” bekannten Attacke, greifen die Kriminellen mit Script-Code die Anmeldedaten des Anwenders ab. Beitrag: itespresso.de – Analyse des Banking-Trojaner Dyre>>

Laut dem Analyst Christopher Talampas von TrendMicro werden Dropbox und andere Cloud basierte Dienste gerne zur Ablage von Malware genutzt. Allerdings wurde jetzt zum ersten Mal die Dropbox als Lieferant von Macroviren genutzt. Weiterhin rät der Experte die Sicherheitsmaßnahmen in Unternehmen zu erhöhen, z.B. könnte man Windows Scripting Host auf den Benutzersystemen zu deaktivieren und vor allem müssen die Mitarbeiter durch Information und Prevention in Umgang mit Spam-Mails und macro-basierter Dokumente eingewiesen werden.

Weiterführender Beitrag von Heise.de – Analysiert: Das Comeback der Makro-Malware

Wie kann ich meinen Rechner schützen?

Bildschirmfoto 2014-10-20 um 13.00.59

Installieren Sie unseren kostenfreien Cyber-Impfstoff. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungstrojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess, der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück. Anleitung>>

Tipp vom Botfrei-Team:

  1. Seien Sie kritisch beim Lesen dubioser E-Mails und deren Anhänge. Laden keine angebotenen Programme herunter. Geben Sie niemals auf weiterführenden Links persönliche Daten an. Wenn Sie sich der Echtheit der E-Mail nicht sicher sind, rufen Sie die entsprechende Seite manuell im Browser auf. Offizielle Nachrichten sind oftmals im Account hinterlegt bzw. erkundigen Sie sich beim entsprechenden Support!
  2. Wenn Sie sich nicht sicher sind, ob Sie evtl. schon Opfer dieser Phising-Attacke geworden sind, ändern Sie die Zugangsdaten auch bei anderen Diensten.
  3. Überprüfen Sie den Rechner auf evtl. Infektionen mit unserem kostenfrei bereitgestellten Entfernungstool.

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.

Bilder: http://blog.trendmicro.com/