Kurze Warnung vor einer Phishing-Kampagne. Betrüger verschicken momentan angeblich vom "Bundeszentralamt für Steuern" E-Mails, und behaupten, die betroffenen Bürger hätten Anspruch auf eine Steuerrückerstattung. Der Anhang in Form einer Word-Datei enthält aber die Ransomware Maze.
Anzeige
Aktuell erhalten ja viele Bundesbürger den Steuerbescheid ihres Finanzamts. Dabei besteht auch die Möglichkeit, einen elektronischen Steuerbescheid abzurufen. Das Ganze läuft aber über das zuständige Finanzamt und die betreffende Steuersoftware. Den Sachverhalt, dass Steuerbescheide versandt werden, nutzen nun aber Online-Betrüger aus.
Warnung des CERT-Bund
CERT-Bund warnt aktuell vor einer neuen Phishing-Kampagne, die Bundesbürger, die auf ihren Steuerbescheid warten, zum Ziel hat. Die Mails tragen angeblich das Bundeszentralamts für Steuern im Absender, was natürlich ein Fake ist.
⚠️ Angreifer versenden aktuell #Spam-Mails im Namen des Bundeszentralamts für Steuern. Im Anhang befindet sich ein schädliches Word-Dokument "Steuerbescheid.doc". Die darin enthaltenen Makros laden die #Ransomware #Maze nach. Nicht öffnen! pic.twitter.com/0xLm1n10zb
— CERT-Bund (@certbund) November 6, 2019
Das Bundeszentralamt für Steuern ist aber nicht für den Versand der Steuerbescheide zuständig. Die Behörde vergibt die Steuernummern und informiert auf ihrer Webseite über Steuerthemen.
Anzeige
Bereits eine Warnung zum 24. Oktober 2019
Auf der Webseite der Behörde gibt es seit dem 24. Oktober 2019 diese Warnung vor den betrügerischen Mails. Dort heißt es:
Seit einiger Zeit versuchen Betrüger per E-Mail an Informationen von Steuerzahlerinnen und Steuerzahlern zu gelangen.
Sie geben sich per E-Mail als "Bundeszentralamt für Steuern" aus und behaupten, die betroffenen Bürger hätten Anspruch auf eine Steuerrückerstattung. Um diese zu erhalten, müsse eine in der E-Mail angehängte Datei ausgefüllt werden und an die Mailadresse "antwortensienicht@bzst-informieren.icu" versendet werden.
Das Bundeszentralamt für Steuern warnt davor, die der Mail angehängte, vermutlich mit einem Schadprogramm infizierte Datei zu öffnen und auf solche oder ähnliche E-Mails zu reagieren. Steuererstattungen müssen nicht per E-Mail beantragt werden.
Hier das Bild der betreffenden Mail, die einerseits mit einer Steuererstattung wirbt und in einem Anhang der Mail Details verspricht. Als Betreff wird aktuell wohl "Wichtige informationen uber Steuerruckerstattung" verwendet, das kann sich aber ändern.
Der Phishing-Mail ist eine Word-Datei mit dem Namen Steuerbescheid.doc angehängt. Die Datei enthält einen Makro, der bei Freigabe die Ransomware Maze nachlädt. Diese verschlüsselt die erreichbaren Dateien auf dem System des Empfängers. Eine Analyse in der Testumgebung app.any.run zeigt die Maze-Meldung.
Anzeige
Hatten wir heute Mittag auch im Postfach, allerding getarnt als Rechnung von 1&1 (Dateiname: R19340003422.doc). Es handelt sich dabei ebenfalls um den Maze-Trojaner (hier die Analyse von Any Run: https://app.any.run/tasks/b26d24ba-bb8f-4c8c-8a1f-09b5442c08fa/ ).
Leider hat ein Mitarbeiter in einem schwachen Moment das .doc geöffnet, allerdings ohne dass etwas passiert wäre. Interessanterweise kam auch nicht die gelbe Abfrage, ob die Ausführung von Makros genehmigt werden soll.
ESET hat das Word-File ebenfalls als Trojaner identifiziert (VBA/TrojanDownloader.Agent.QJB), aber leider erst mit der aktuellsten Virusdefinition von heute Abend, so dass uns das bei der Mail von heute Mittag noch nichts gebracht hat.
Aus den Meldungen zur Funktionsweise des Trojaners bin ich bisher leider nicht so ganz schlau geworden. Es wird zwar von Ausführen eines Makros gesprochen, aber andererseits soll es reichen, die Datei einfach nur zu öffnen, um sich zu infizieren. Kann das ohne die Genehmigung von Makros überhaupt funktionieren?
Jetzt stellt sich mir natürlich die Frage, ob wir nochmal Glück hatten (durch ein brav vollständig gepatchtes Windows 7 und deaktivierte Office-Makros), oder ob da noch was kommen kann.
Wie seht ihr das?