Aufgepasst! Trojaner versteckt sich in Fake-Bewerbungen vor Antiviren-Software
Der Erpressungstrojaner Gandcrab versteckt sich in Fake-Bewerbungen, die momentan zuhauf an Unternehmen verschickt werden. Meist bezieht sich der Titel auf keine konkret ausgeschriebene Stelle, sondern lautet „Bewerbung auf die ausgeschriebene Stelle“ oder ähnliches. Auch der Absender kann variieren. Diese Mail beinhaltet ein Worddokument, das Windows-Rechner beim Öffnen mit einem Trojaner infiziert.
Anhang nicht öffnen!
Mitarbeiter, die Bewerbungen bearbeiten, sollten nun spätestens beim Namen des Dokuments stutzig werden. Besteht der Name allein aus Ziffern, z.B. 37927453.doc, heißt es: Datei besser nicht öffnen! Geschieht dies doch, wird der Mitarbeiter aufgefordert die Makros zu aktivieren, um die Kompatibilität zu gewährleisten, da die Datei angeblich mit einer älteren Worddatei erstellt wurde und sie ansonsten nicht gelesen werden könne.
Finger weg! Die Makros öffnen ein verstecktes Terminal, welches mit PowerShell Kommandos durchführt, Gandcrab herunterlädt und ausführt. Der Trojaner verschlüsselt Dateien und fordert ein Lösegeld, um sie wieder zu entschlüsseln. Aktuell sind nur Fälle auf Windows-Rechnern bekannt. Dies heißt jedoch nicht, dass andere Systeme immun und definitiv sicher sind. Daher sollten vor allem Personalmitarbeiter aktuell noch aufmerksamer sein, als sie es sowieso schon sind.
Der Trick
Der Trick dabei ist recht einfach: Das Word-Dokument ist passwortgeschützt, sodass die Antiviren-Software keinen Alarm schlagen kann, da sie den Inhalt des Dokuments nicht erkennt. Das Passwort steht in der Mail, sodass der Empfänger das Dokument aber angeblich öffnen könne. Ein weiterer Hinweis dafür, dass es bei der Bewerbung nicht mit rechten Dingen zugehen kann. Sollten Sie solch eine Mail erhalten, löschen Sie sie, laden Sie keinen Anhang herunter und öffnen Sie ihn auf keinen Fall.
