Gefälschtes Silverlight Update enthält Keylogger

Experten von Proofpoint entdeckten vor Kurzem eine Spam-Kampagne, die über schädliche E-Mails hauptsächlich spezielle Personenkreise in der Finanzdienstleistungsbranche zum Fokus hatte.

Nach Angaben der Experten war die Spam-Kampagne äußerst erfolgreich. Auch wenn diese nur auf eine einzelne Organisation gerichtet war, erschien die E-Mail beim einzelnen Mitarbeiter des Unternehmens mit hoher Relevanz und zeigte zudem keine standardisierte Betreffzeile. Die E-Mail enthielt im Anhang zudem eine Microsoft Word-Anlage mit dem Titel “info.doc“.

Nach dem Öffnen der Word-Datei zeigt sich, wie im Bild zusehen, ein gefälschtes Silverlight-Update!

Bild: proofpoint.com – Wordatei mit eingebetteten Objekt

Im Hintergrund allerdings wird ein Schadcode ausführt, der diesmal nicht über die beliebten “Macro-Scripte” freigesetzt wird. Diesmal verwenden die Kriminellen ein eingebettetes und stark verschlüsseltes “Packager-Shell-Objekt“. Das installiert, von Antiviren-Programmen unbemerkt, einen bösartigen Keylogger auf den Rechner. Der Keylogger lauert im Hintergrund, sammelt u.a. Informationen des Benutzers und des Systems und sendet diese an zwei in der Malware hartcodierte Gmail-Adressen weiter.

Laut den Experten von Proofpoint ist die Verwendung von eingebetteten Objekten anstelle von Makros nicht neu, dennoch bleiben bösartige Makros der Vektor der Wahl. Sie sind zu diesem Zeitpunkt für die meisten Angriffe über Spam-Kampagnen verantwortlich. Darüber hinaus gehen die Experten davon aus, dass diese Technik über kompromittierte “Macro-Scripte” und verschlüsselte “Packager-Shell-Objekt” in 2017 populärer den je wird.

Proofpoint schlägt vor, dass Benutzer mit der rechten Maustaste auf eine verdächtige Anlage klicken und sich ihre Eigenschaften ansehen sollen. Dabei wird kein Makro freigeben, aber es enthüllt ein “Package Shell-Objekt” oder eine “VBScript-Datei (.VBS)”.

Bild: proofpoint.com – Eigenschaften einer Datei

Lesen Sie auch unseren Beitrag „Heute sprechen uns gefälschte E-Mails persönlich an!

Was können Sie selber tun?

  1. Seien Sie kritisch beim lesen dubioser E-Mails und deren Anhänge, geben Sie niemals auf hinter Links befindlichen Webseiten persönliche Daten weiter.
  2. Öffnen Sie niemals aus Neugier Anhänge aus dubioser Mails.
  3. Wenn Sie sich nicht sicher sind, ob Sie evtl. schon Opfer dieser Phising-Attacke geworden sind, ändern Sie die Zugangsdaten.
  4. Überprüfen Sie den Rechner auf evtl. Infektionen mit unseres kostenfrei bereitgestellten Entfernungstool.

Maßnahmen wie Sie den Computer absichern können!

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immer up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellungen von Windows der die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers. Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen werden.