Seit vergangenem Donnerstag registrieren unsere Spam- und Virenfilter angebliche Rechnungs-E-Mails, die Links zu Dateien bei Dropbox beinhalten.
Dabei fordern die Betrüger den Empfänger dazu auf, sich die Datei mit Zahlungsinformationen oder Rechnungen herunterzuladen. Der Download bringt jedoch keine Rechnungsinhalte auf das lokale Gerät, sondern eine ZIP-Datei mit einem Virus. Die „rechnung1.zip“, „rechnung2.zip“ usw. genannten komprimierten Dateien beinhalten jedoch eine .js-Datei mit unterschiedlichen Malware-Signaturen.

Vergifteter freundlicher Gruß - E-Mail mit Virus

Vergifteter „freundlicher Gruß“ – Dateianhang mit Virus.

 

Unsere Filter haben diese Angriffswelle sofort erkannt und entsprechende Maßnahmen getroffen: Das Link Rewriting hat die Download-Links zu den vermeintlichen Rechnungen vorsorglich umgeschrieben. Bei einem Aufruf des Download-Links durch einen Nutzer, wurde die Datei durch die ATP Sandbox Engine überprüft, der Virus erkannt und der Angriff erfolgreich abgefangen. Nach Erkennung durch unsere Advanced Threat Protection wurden weitere Schutzmaßnahmen ergriffen um alle Hornetsecurity Kunden zuverlässig zu schützen.

Noch am Freitag erkannten klassische Antiviren-Programme die Viren quasi nicht (lediglich vier von 56 Engines entdeckten den Schadcode), und auch am gestrigen Tag lag die Erkennungsrate lediglich bei 19 von 58 Virenscannern. Es ist daher immer noch Vorsicht geboten, wenn eine E-Mail mit den Betreffs „Ihre Rechnung“ oder „Zahlungsdetails“ auftaucht und sich in der Nachricht selbst ein Dropbox-Link befindet. Die betreffende E-Mail sollte daher idealerweise gleich gelöscht werden.

Hornetsecurity Advanced Threat Protection schützt Unternehmen vor Angriffen, wie Ransomware, CEO-Fraud (Chef-Masche) und Phishing. Weitere Informationen erhalten Sie hier.