Corona-Zeit ist Phishing-Zeit

Seit September macht ein aktuelles E-Mail die Runde, das angeblich vom Bundesgesundheitsministerium in Deutschland stammt. Statt diverser Corona-Ampelschaltungen enthält das E-Mail aber einen Downloader für eine Schadsoftware.

Der Dateianhang mit dem Namen „Bund-Arbeitsschutzregel-Corona-September.zip“ (Namen können variieren) enthält vorgeblich ein Dokument mit aktualisierten und ab sofort verbindlichen Regeln für den Infektionsschutz am Arbeitsplatz.

Im Text der E-Mail wird auf ein Treffen zwischen den Gesundheitsministern der EU hingewiesen, bei dem die aktualisierten Vorschriften angeblich überarbeitet worden seien. Dass es solch ein Treffen gegeben hat, mag vielleicht stimmen – allerdings werden solche Informationen in der Regel nicht per E-Mail von den Ministerien versendet, sondern auf dem eigenen Portal bzw. via Medien veröffentlicht.

Auffällig sind auch die Zeichenfehler in der Mail, vor allem bei den Buchstaben U, W, C und D sowie bei Umlauten. Zudem enthält das E-Mail eine falsche Absenderadresse, die auf „bundesministerium-gesundheit.com“ verweist – diese Domain gehört jedoch nicht zum Gesundheitsministerium – weder zum österreichischen Ministerium noch zum Deutschen. Die im Mailtext erwähnte Adresse „poststelle@bmg.bund.de“ ist allerdings wirklich korrekt.

Eine weitere Mail mit identischer Schadfunktion ist derzeit in Form eines gefälschten Bewerbungsschreibens unterwegs. Einer der verwendeten Namen für die vermeintliche Bewerbung lautet „Claudia Alick“.

Nach G DATA-Erkenntnissen enthält der Mailanhang einen JScript-Loader namens „Buer“ – dieser wiederum lädt aus dem Internet eine weitere Schadsoftware nach. Bei dieser handelt es sich um NuclearBot – ein Bankingtrojaner, der es unter anderem auf die Passwörter von Bankkonten abgesehen hat.

Die aktuelle Situation rund um die Unsicherheiten bei COVID-19 wird von den Cyberkriminellen eiskalt ausgenützt und macht sich in einem sprunghaften Anstieg von Phishing-Attacken bemerkbar.

Die äußerst gut organsierten Hacker agieren höchst professionell und verwenden viel Zeit, Geld und Mühe, um immer komplexere und raffiniertere Angriff-Strategien zu entwickeln.

So gehört „Social Engineering“ und „CEO Fraud“ inzwischen zum Standard-Repertoire der Kriminellen und können auch Fachleute in der täglichen Hektik schnell täuschen. Laut dem aktuellen Microsoft Defense Report hat sich auch die Zeit zwischen der Kompromittierung des Netzwerkes und der Lösegeldforderung drastisch reduziert. In einigen Fällen lagen zwischen den beiden Ereignissen nur 45 Minuten.

Der Wechsel von Millionen von Menschen vom Büro ins Home Office hat den Cyberkriminellen ein zusätzliches Einfallstor eröffnet. So versuchen Angreifer, über DDoS-Attacken die Zugriffe von Nutzern auf die in der Cloud befindlichen Anwendungen zu stören – zudem wurden andere Angriffe auf die jeweiligen Systeme damit verschleiert. Auch registriert Microsoft seit Jahresbeginn eine zunehmende Anzahl von Brute-Force-Attacken auf Unternehmenskonten