Vorsicht vor PDF-Rechnungen: Neuer Erpressungstrojaner Jaff im Umlauf

Vorsicht vor PDF-Rechnungen: Neuer Erpressungstrojaner Jaff im Umlauf

Nachdem einige Unternehmen und Institutionen in den vergangenen Wochen von WannaCry heimgesucht worden sind, ist nun der neue Erpressungstrojaner Jaff im Umlauf. Im Vergleich zu WannaCry nutzt diese Form der Ransomware jedoch primär kein Sicherheitsloch in Windows-Systemen aus. Stattdessen wird auf Phishing gesetzt. 

Hierbei greifen die Cyberkriminellen auf einen altbewährten Trick zurück. Mit einer angeblich unscheinbaren E-Mail mit Rechnungsanhang gelangt Jaff auf das System seiner Opfer. Die Betreffzeile der jeweiligen E-Mail ist durch „Invoice“ oder „Payment“ sowie mit einer entsprechenden Rechnungsnummer versehen. Der Inhalt ist ebenfalls in englischer Sprache verfasst und enthält eine gefälschte Auftragsbestätigung. Darin wird auf die beiliegende PDF-Rechnung in der E-Mail verwiesen.

 

Die Öffnung der PDF-Datei selbst führt jedoch noch nicht zur Infizierung des Systems. Erst wenn der Benutzer in seinem PDF-Betrachtungsprogramm auf „OK“ klickt, um den Sicherheitshinweis auszublenden, setzt sich der Prozess in Gang. Dieser Vorgang beginnt zunächst mit der Extrahierung einer Word-Datei in einen temporären Ordner auf der Festplatte des Benutzers. Dabei wird das Word-Dokument aus der verschleierten PDF-Rechnung heraus geöffnet. Erfolgt nun noch die Aktivierung über die Makros, ist das System durch den Erpressungstrojaner Jaff endgültig befallen.

 

JavaScript als Einfallstor für den Erpressungstrojaner Jaff

 

Hierbei bedienen sich die Urheber dieser Malware verschiedener Befehle, die ebenfalls in der sogenannten „Acrobat JavaScript Scripting Reference“ zu finden sind. Konkret geht es dabei darum, wie das PDF-Betrachtungsprogramm mit JavaScript-Befehlen umgeht. Gemeint sind Anweisungen, die direkt nach dem Öffnen des Dokuments durch den Betrachter ausgeführt werden. Doch auch andere Programme zum Öffnen von PDF-Dokumenten können diese entsprechenden Befehle auf Basis von JavaScript interpretieren.

 

Sobald das Word-Dokument ausgeführt wird, unterscheidet sich der Prozess des Jaff Erpressungstrojaners nur geringfügig von dem von herkömmlichen Viren, die auf die Makro-Funktionen zurückgreifen. Als Grundlage dient hier die Skriptsprache VBA („Visual Basic for Applications“). Die Makros sorgen dafür, dass ein Download des Programmcodes der Ransomware erfolgt und diese letztlich auf dem System ausgeführt wird.

 

Innerhalb weniger Sekunden können Nutzer, wie beispielsweise Mitarbeiter eines Unternehmens, nicht mehr auf Dateien zugreifen. Hierbei werden sämtliche Dateien – unabhängig vom Dateityp – verschlüsselt. Ist dieser Vorgang abgeschlossen, erscheint eine Einblendung, in Form eines Bitmaps, auf der die entsprechende Lösegeldforderung abgebildet ist. Die aktuelle Lösegeldhöhe liegt beim Erpressungstrojaner Jaff – laut den Betroffenen – zwischen 700 und 4.000 Euro, wobei die Zahlung in der Online-Währung Bitcoins erfolgt. Ein Programm zur freien Entschlüsselung des Erpressungstrojaners Jaff gibt es derzeit nicht.

 

 

So können Sie sich vor dem Erpressungstrojaner Jaff schützen

 

1. Seien Sie kritisch

Sofern Sie eine Rechnung per E-Mail erhalten, sollten Sie Ruhe bewahren und erst einmal den Inhalt sowie die Betreffzeile auf ihre Richtigkeit überprüfen. Nicht selten werden Phishing-Mails massenhaft von Cyberkriminellen versandt. Orthographische sowie grammatikalische Fehler sind deshalb keine Seltenheit und bereits als Indiz für eine Phishing-Mail zu werten.

 

 

2. Öffnen Sie keine Anhänge unbekannter Absender

Aber auch nach einem ersten Eingangs-Check sollten Sie vorsichtig sein. Dies gilt insbesondere für das Öffnen von vermeintlich harmlosen Dateianhängen. Excel-, Word- oder PDF-Dateien sind grundsätzlich als Gefahrenquelle für Angriffe von Cyberkriminellen anzusehen.

 

 

3. Deaktivieren Sie die Makro-Funktion

Um generell das Einschleusen von Ransomware über E-Mail-Anhänge zu verhindern, sollten Sie grundsätzlich in Ihren Programmen, wie z.B. Word oder Excel, die Makro-Funktion deaktivieren. Nicht selten verstecken sich hinter harmlosen Dokumenten, bösartige Malware-Arten.

 

 

4. Schützen Sie sich

Einen effektiven Schutz bietet Hornetsecurity durch Advanced Threat Protection. Mit diesem IT-Security-Konzept können sich Unternehmen optimal vor Angriffen, wie CEO Fraud, Ransomware oder Phishing schützen. Erfahren Sie hier mehr.

Weiterführende Informationen

 

  • Entdecken Sie jetzt Hornetsecurity ATP.
  • Kostenloses Webinar zum Thema “Live-Attacken: Heute sind wir die Täter – Die Gefahr von CEO Fraud, Ransomware & Co.” – Jetzt anmelden!