Eine aktuell laufende Spam-Kampagne kommt daher wie ein Paradebeispiel in Sachen Social Engineering – und bringt bis dato kaum bekannte Malware auch auf die Rechner von eigentlich versierten Empfängern, die dem Spam die „Email vom Kollegen“ abnehmen…

Diese Attacke setzt auf starke Personalisierung

Als Absender täuscht die Phishing-Mail reale Emailadressen von Mitarbeitern derselben Firma vor. Neben Emails mit ziemlich nichtssagender Betreffzeile wie zum Beispiel „Scan 28923323236“ beinhalten einige der versandten Betreffzeilen zusätzlich den Namen des Empfängers der Email, beispielsweise so: „WG: gescanntes Dokument 161219481113 [Empfänger]“.

Die Spam-Email sieht wie von einem Kollegen aus

Der Text dieser Emails enthält einen Link, hinter dem sich je nach Variante ein vermeintlicher Überweisungsbeleg oder aber ein Dokument mit angeblich vom Empfänger angeforderten Informationen verbirgt.

Wegen der bekannten Absenderadresse ist die Gefahr durchaus hoch, dass sich auch ein sicherheitsbewusster Empfänger zum „reflexhaften“ Anklicken verleiten lassen könnte.

Download und Ausführung des Schadcodes

Auf der Landingpage (Zielseite) wartet dann ein Word-Dokument mit der Bezeichnung Rechnungs-Details-201019471223.doc auf seinen Download und seine Ausführung, wobei der Name durchaus abweichend sein kann.

Die Erkennungsrate für diese trickreichen Versuche, via Social Engineering Zugang zu bekommen, liegt beim Online-Scandienst VirusTotal für den Download-Link zurzeit noch bei Null. Nur wegen der Word-Datei schlägt ausschließlich Symantec Alarm.

Vorgebliche Rechnung beinhaltet schädlichen Makro-Code

Ein Online-Scan des angeblichen Rechnungsdokuments auf malwr.com gibt interessante Screenshots von dessen Funktionalität zurück. In englischer Sprache wird der Empfänger aufgefordert, durch zwei Klicks auf gelbe Schaltflächen die Bearbeitung des Dokuments und auch die Ausführung eingebetteter Inhalte zu gestatten( „Enable Editing“/“Enable Content“).

PC mit Protec’tor besser schützen

Wer seinen Rechner gegen diesen und ähnliche geartete Angriffe abhärten möchte, kann dies mit dem kostenlosen Tool Protec’tor der Computerzeitschrift c’t, das auf den Vorarbeiten von Security Without Borders basiert, mit ein paar Mausklicks tun.