CERT Nord Sicherheitswarnung Spamwelle mit Schadcode

Bitte beachten Sie die nachfolgende Meldung des Warn- und Informationsdienstes des CERT Nord und führen die empfohlenen Maßnahmen zur Mitarbeitersensibilisierung durch.

Vertraulichkeit: TLP Green

 

Thema: Eine neue Variante von Malware wird per Email verbreitet. Erneut werden Absender vorgetäuscht, die aus der gleichen oder einer bekannten Behörde kommen oder in Beziehung zum Empfänger stehen.

Die Mail enthält einen Link zum Schadcode. Dieser Link lädt ein Word-Dokument herunter, was ein Makro ausführt.

 

Kategorie:

[x] Warnung      (potenzielle Bedrohung, Maßnahmen sind möglichst bald zu ergreifen)

 

 

Risikobeurteilung des CERT Nord:

[x] hoch

 

 

Relevanz:

[x] hoch relevant            (die meisten Behörden und Institutionen sind potenziell betroffen)

 

 

betroffene Produkte:

Rechner mit Windows.

 

Angriffsvektor:

[x] Netzwerk von extern

Bedrohung:

Zur Zeit gibt eine Welle mit kurzen Emails, die Links auf angebliche Rechnungen oder Scans enthalten.  Betreffs und Texte wechseln, im From- Feld wird oft ein vermutlich in Bezug zum Empfänger stehender (deutscher) Absender genannt, obwohl die Emails technisch gesehen von ganz anderen, ausländischen Accounts kommen.

Nach dem Aufrufen des Links wird eine Word-Datei heruntergeladen, welches ein Makro enthält, was eine Powershell ausführt. Deshalb ist zu vermuten, dass ein im Einsatz befindlicher App-Locker keine Wirkung zeigt. Es ist auch noch nicht bekannt, welche Auswirkungen die Ausführung dieser Powershell hat.

Im Betreff steht häufig Rechnungxxxxxxxxxx, allerdings sind auch andere Varianten bekannt.

 

Empfohlene Maßnahmen:

Eine Sensibilisierung der Anwender wird empfohlen. Anwender sollten auf keinem Fall den Link in den betreffenden Mails ausführen.