Getarnt als professionell gestaltete Bewerbungsmail mit verschlüsseltem Anhang verbreitet sich grade ein noch nicht identfizierter Virus. Das meldetet das Hornetsecurity Security Lab.

Achten Sie auf E-Mails mit dem Betreff „Bewerbung auf Ihre Stellenausschreibung“ oder „Bewerbung auf die aktuelle Jobausschreibung“ und einem Anhang, welcher verschlüsselt ist. Zum Öffnen des Dokuments wird ein Passwort im Anschreiben der E-Mail mitgesendet. Durch die verschlüsselte .pdf, .doc oder zip-Datei versuchen Cyberkriminelle lokale Virenscanner zu umgehen, da der enthaltene Schadcode dadurch „versteckt“ wird. Mit der Entschlüsselung des Anhangs wird jedoch der Virus nachgeladen und infiziert das Computersystem.
Um Vertrauen bei dem Empfänger dieser E-Mail zu wecken, wird oftmals noch ein Bewerberbild in guter Qualität beigefügt und auf die Website des Unternehmens verwiesen, auf der der angebliche Bewerber die Stellenausschreibung gefunden hat.
Das Hornetsecurity Security Lab ist derzeit noch dabei herauszufinden, um welche Malware es sich hierbei genau handelt.

Zusammenfassung der Eckdaten der schadhaften E-Mail:
-Anschreiben ist in gutem Deutsch verfasst, mit professionell wirkenden Details des „Bewerbers“
-Der Anhang enthält ein verschlüsseltes Dokument im .pdf, .doc oder zip Format
-Das Passwort zum entschlüsseln des Anhangs wird ebenfalls in derselben E-Mail mitgesendet
-Die sprachliche Ausdrucksweise variiert zu der unten angezeigten Beispielmail

IoCs – SHA256:
d17646f0eb60e8844959480ef9a57eb38efc8cd55775d5585510d4df4cde29b7 (application/msword)
93e5705c467d4b92a2a1dde1c1216472e127787b58feb45804b83087b68125ad (application/msword)

Beispiel einer aktuellen Schad-E-Mail

HSE Bewerbungsmails encrypted Attachement

+++UPDATE – 10.05.+++

Wie die Sicherheitsforscher vom Hornetsecurity Security Lab nun herausfanden, handelt es sich bei der verbreitenden Malware um eine neue Gandcrab Kampagne. Bereits im Januar diesen Jahres und Herbst 2018 beobachteten Security-Experten ein erhöhtes Aufkommen dieser Malware-Art. Das perfide an der Spam-Welle ist jedoch das verschlüsselte Dokument, welches die GandCrab Ransomware herunterlädt. Die Verschlüsselung hebelt klassische Überprüfungen vom Makro Code aus, da eine statische Analyse des Dokuments nicht möglich ist. So konnte die verschlüsselte Datei von keinem klassischen Anti-Virus Programm erkannt werden.

Sobald der Empfänger das angehängte Dokument öffnet und entschlüsselt, wird der Benutzer aufgefordert, auf die Schaltflächen „Bearbeitung aktivieren“ und „Inhalt aktivieren“ zu klicken. Tut man dies, startet das im Office Dokument vorliegende Makro ein verstecktes Terminal und führt PowerShell Kommandos aus, um die GandCrab Ransomware aus dem Internet herunterzuladen und auszuführen.

InfiziertesWorddokument GandCrab

Anschließend verschlüsselt die GandCrab Ransomware sämtliche Daten auf dem infizierten Rechner und ersetzt den Desktop Hintergrund mit einer Forderungsnachricht.