Wie angekündigt, haben wir jetzt die auf unsere Stellenangebot in der Jobbörse der Arbeitsagentur erhaltene, mit dem Verschlüsselungstrojaner „Goldeneye infizierte Bewerbungs-Mail, analysiert.
Das wichtigste Erkenntnis vorab:
Unser Virenscanner an den Arbeitplätzen hat den Virus zum Zeitpunkt am ersten Eintreffen am 06.12. 2016 07:11 Uhr nicht erkannt, da dieser zu diesem Zeitpunkt in der Virensignatur noch nicht enthalten war (Zero Day Exploit)! Am nächsten Tag wurde der Virus dann erkannt, aber das wäre dann zu spät gewesen.
Hier die Ergebnisse:
- Die Mail ist in einwandfreiem Deutsch verfasst, mit auf unsere Stellenauschreibung passenden Anrede und Betreff versehen und neben der XLS-Datei mit Makro-Virus, ist auch noch ein PDF angehängt.
- Bei der Bewerbungsmappe im PDF-Format sieht wie eine legitime Bewerbung aus, die Bezug auf unsere angebotene Stelle als „IT-System-Elektroniker und die angegebene Kontaktperson mit Vor- und Nachname nimmt.
Der Lebenslauf verfügt über ein ansprechendes Foto, verweist dann bezüglich Kompetenzen und Zeugnissen auf die im Anhang befindliche Excel-Datei:
„Den Lebenslauf und die Zeugnisse finden Sie zusammen mit dem von der Bundesagentur für Arbeit erstellten Kompetenzprofil in der Excel-Datei“. - Beim Öffnen der Excel-Datei bekommt man dann im Blatt 1 folgenden Text mit einem „originalen“ Logo der Arbeitsagentur angezeigt:
„Bitte aktivieren Sie die Bearbeitungsfunktion, um das Kompetenzprofil anzuzeigen." - Wenn man dann noch den Button [Bearbeitung aktivieren] drückt, startet automatisch das Makro in der Excel-Datei, lädt den eigentlichen Trojaner nach und startet schliesslich den Verschlüsselungsprozess.
Unsere kostenlosen Tipps zum Schutz vor Ransomware und Phishing können Sie <link kostenlose tipps zum schutz vor ransomware und>hier anfordern.