![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\")
Zum Wochenanfang noch eine kurze Warnung vor einer neuen Malware-Welle. Cyber-Kriminelle versuchen den GandGrab-Trojaner \u00fcber gef\u00e4lschte Bewerbungmails an ihre Opfer zu verteilen.<\/p>\nZum Wochenanfang noch eine kurze Warnung vor einer neuen Malware-Welle. Cyber-Kriminelle versuchen den GandGrab-Trojaner \u00fcber gef\u00e4lschte Bewerbungmails an ihre Opfer zu verteilen.<\/p>\n
<\/p>\n
Die Empf\u00e4nger erhalten eine Mail mit dem Betreff \"Bewerbung auf Ihre Stellenausschreibung\" oder \"Bewerbung auf die aktuelle Jobausschreibung\". Das Anschreiben ist in gutem Deutsch verfasst und enth\u00e4lt professionell wirkende Details des \"Bewerbers\". Der Text des Anschreibens variiert dabei allerdings. Hier ein Beispiel einer solchen Mail, die Hornet Security ver\u00f6ffentlicht hat.<\/p>\n Um Vertrauen bei dem Empf\u00e4nger dieser E-Mail zu wecken, schreiben die Sicherheitsforscher, wird oft ein Bewerberbild in guter Qualit\u00e4t beigef\u00fcgt und auf die Website des Unternehmens verwiesen, auf der der angebliche Bewerber die Stellenausschreibung gefunden hat. Speziell Personalabteilungen werden so etwas zuhauf per E-Mail erhalten.<\/p>\n Die Besonderheit bei der hier gegenst\u00e4ndlichen Mail ist, dass der Bewerbung ein verschl\u00fcsselter Anhang beigef\u00fcgt ist. Der Empf\u00e4nger soll im Anhang weitere Informationen zum Bewerber finden. Das Kennwort zum Entschl\u00fcsseln des Anhangs findet sich gleich im Anschreiben der E-Mail.<\/p>\n Durch die Verschl\u00fcsselung der .pdf, .doc oder zip-Datei versuchen die Cyber-Kriminellen lokale Virenscanner zu umgehen, da der enthaltene Schadcode dadurch \"versteckt\" wird. Die Sicherheitsforscher schreiben hier<\/a>, dass die Verschl\u00fcsselung die klassische \u00dcberpr\u00fcfungen vom Makro Code aushebelt, da eine statische Analyse des Dokuments nicht m\u00f6glich ist. So konnte die verschl\u00fcsselte Datei, nach Auskunft der Sicherheitsforscher, von keinem klassischen Anti-Virus Programm erkannt werden.<\/p>\n Versucht der Empf\u00e4nger der Mail das Dokument mit dem mitgesendeten Passwort zu entschl\u00fcsseln und \u00f6ffnen, wird der Benutzer danach aufgefordert, auf die Schaltfl\u00e4chen \u201eBearbeitung aktivieren\" und \u201eInhalt aktivieren\" zu klicken (siehe folgendes Bild).<\/p>\n Befolgt der Nutzer diese Anweisungen, startet ein im Office Dokument enthaltenes Makro ein verstecktes Terminalfenster. Anschlie\u00dfend f\u00fchrt das Makro PowerShell-Kommandos aus, um die GandGrab Ransomware aus dem Internet herunterzuladen und auszuf\u00fchren.<\/p>\n Anschlie\u00dfend verschl\u00fcsselt die GandGrab Ransomware s\u00e4mtliche Daten auf dem infizierten Rechner und ersetzt den Desktop Hintergrund mit einer Nachricht mit der L\u00f6segeldforderung. Hier empfiehlt es sich, im Unternehmen nochmals auf die laufende Kampagne hinzuweisen. Gegen den Datenverlust durch die Verschl\u00fcsselung hilft eine geeignete Backup-Strategie, die sicherstellt, dass das Backup nicht durch die verschl\u00fcsselten Kopien \u00fcberschrieben werden. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" Zum Wochenanfang noch eine kurze Warnung vor einer neuen Malware-Welle. Cyber-Kriminelle versuchen den GandGrab-Trojaner \u00fcber gef\u00e4lschte Bewerbungmails an ihre Opfer zu verteilen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-217914","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217914","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=217914"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/217914\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=217914"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=217914"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=217914"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Sicherheitsspezialisten von Hornet Security weisen im Beitrag Sch\u00e4dliche Bewerbungen im Umlauf!<\/a> vom 8. Mai 2019 darauf hin, dass eine neue Malware-Kampagne l\u00e4uft. Cyber-Kriminelle versuchen \u00fcber professionell gestaltete Bewerbungsmails den GandGrab-Trojaner an ahnungslose Opfer zu verteilen.<\/p>\n
Fingierte Bewerbungsmail<\/h2>\n
![\"Gandgrab-Bewerbungsmail\"](\"https:\/\/i.imgur.com\/h9jj3hp.jpg\" "\\"Gandgrab-Bewerbungsmail\\"")
<\/a>
\n(GandGrab-Bewerbungsmail, Quelle: Hornet Security, Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\nVerschl\u00fcsselter Anhang<\/h2>\n
![\"Makro-Aufforderung\"](\"https:\/\/i.imgur.com\/kPyKjTy.jpg\" "\\"Makro-Aufforderung\\"")
\n(Makro-Meldung, Quelle: Hornet Security)<\/p>\n