Warnung aus dem Hornetsecurity Security Lab: Derzeit versenden Cyberkriminelle E-Mails mit schädlichen Anhängen im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die E-Mails tragen den Betreff „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“. Aufhänger ist der europäische Rechtsakt zur Cybersicherheit und ein eventueller Missbrauch der persönlichen Daten. Die Cyberkriminellen fordern den Empfänger auf, den Anhang zu öffnen und zu prüfen, welche Daten auf welchen Internetseiten betroffen sind. Es wird außerdem empfohlen, die Passwörter umgehend zu ändern. Die textliche Aufbereitung und das eingebaute BSI-Logo geben der Mail einen seriösen Charakter und wirken täuschend echt.

So sieht die E-Mail aktuell aus: 

Bei den zuletzt eingegangenen E-Mails wurde die Absenderadresse gro.d1566700306nub-i1566700306sb@gn1566700306udlem1566700306 für den Betrug verwendet. Die Mail kommt von diversen Servern, primär werden sie vom Server „bsi-bund.org“ mit der IP-Adresse 185.212.128.50 versandt. Um klassische Anti-Spam-Programme mit aktiver SPF-Überprüfung auszuhebeln, wurden auch die korrekten SPF Records für die Domain „bsi-bund.org“ gesetzt, die auf den oben genannten Server verweisen.

Der Schein trügt: Im Anhang der E-Mail befindet sich eine *pdf.lnk-Datei, die beim Öffnen automatisch ein PowerShell Kommando ausführt, das mit dem Mshta[1] Windows Tool ein .hta-Dokument von der Domain „grouph[.]xyz“ ausliest und startet. Hierbei wird der Rechner des Benutzers mit der Ransomware „Sodinokibi“ infiziert.

Auf diese Punkte sollten Sie achten:

– Absender gro.d1566700306nub-i1566700306sb@gn1566700306udlem1566700306
– Server: diverse, u.a. bsi-bund.org mit der IP-Adresse 185.212.128.50
– Betreff: „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“
– Inhalt: Möglicher Missbrauch von persönlichen Daten, Aufforderung zum Öffnen des Anhangs

 

[1] https://attack.mitre.org/techniques/T1170/