Cryptowall Malware als “Bewerbung” getarnt und mehr

Seit Ende vorigen Jahres läuft mal wieder eine Malware-Welle, die per E-Mail-Anhang eine Malware auf die Systeme der Anwender verbreiten will. Zudem gibt es einen Crypto-Trojaner Ransom32, der ebenfalls auf JavaScript basiert und von Virenscanner noch nicht erkannt wird.


Anzeige

Cryptowall Malware

Die Malware hat es wohl in sich, vereint sie doch Ransomware (verschlüsselt Daten und fordert ein Lösegeld), einen Trojaner zum Abgreifen von Passwörtern und einen Spam-Bot zum Versenden von Werbemails von den Rechnern der Opfer.

Die Malware adressiert vordergründig kleine Firmen – wegen des in englisch gehaltenen Texts – eher im anglo-amerikanischen Sprachraum und nutzt social enginering Techniken zur Überlistung der Opfer. In einer E-Mail wird angeblich ein Lebenslauf (Resume) als Anhang verschickt.

Hi, my name is Kent Mckay
Please find my resume in the attachment

Thank you,
Kent Mckay

Der Anhang Kent Mckay.zip enthält dann eine JavaScript-Datei, die die Malware herunterlädt und zu installieren versucht. Ein paar weitere Details finden sich in diesem englischsprachigen Beitrag von myonlinesecurity.co.uk. Wegen des englischen Mail-Texts sehe ich die Bedrohung hier nicht so groß – aber es ist möglicherweise nur eine Frage der Zeit, bis eine angepasste E-Mail auch an deutsche Kleinunternehmen geht.

Krypto-Trojaner Ransom32

Dazu passt auch die Sichtung des Krypto-Trojaners Ransom32, der als JavaScript daherkommt, vor dem bleepintcomputer.com hier warnt. Aktuelle Virenscanner sprechen derzeit wohl noch nicht auf diesen Schädling an. Und der Schädling lässt sich wohl recht einfach für Linux oder OS X anpassen. Bei heise.de gibt es einen längeren deutschsprachigen Artikel zum Thema.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit Malware, Phishing, Ransomware verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Cryptowall Malware als “Bewerbung” getarnt und mehr

  1. Mirko Heilmann sagt:

    Guten Morgen,

    den Unsinn mit dem Ransom32 hab ich gestern auch bei heise gelesen und schon beim lesen nur mit dem Kopf geschüttelt. In den Kommentaren haben dann auch viele den Artikelverfasser "zurechtgewiesen". Es ist eigentlich nicht mal eine Meldung wert gewesen, denn um den eingebauten Javascript Interpreter zu starten muß das ganze Geraffel in eine exe (er schrieb chrome.exe) gepackt werden. Die wird dann wohl "hochwissenschaftlich" mit etwas anderem (pdf, jpg,…) erweitert, und dann auf die Menschheit losgelassen. Also nix Neues wie immer, wer auf alles klickt was nicht bei drei auf den Bäumen ist hat ein Problem.
    Und die Geschichte mit der Anpassung auf Linux und OS X halte ich für ausgemachten Blödsinn und dient nur der Erhöhung des Paniklevels. Wer nur halbwegs in der Materie steckt merkt schon beim Ansehen des Videos, daß dort ein absoluter "Spezialist" spricht. Ich hab es nicht bis zum Schluß geschafft.

    Schöne Grüße

    • Dekre sagt:

      @ Mirko,
      muss Dir zustimmen. Der heise-Artikel mit dem Video ist etwas komisch und neigt zur völligen Panikmache. Das Video mit dem "Spezialisten" ist völliger Blödsinn; fehlt nur noch der Satz – "Machen Sie Ihren PC nicht an und Sie sind sicher."
      Auf dem Blog von malwarebytes steht das Ganze schon seit Anfang Dez 15 und davor auch. Hier mal der Link:
      https://blog.malwarebytes.org/intelligence/2015/12/inside-chimera-ransomware-the-first-doxingware-in-wild/

      Der heise-Artikel ist aber irgendwie auch interessant.
      Manchmal denke ich, dass bei heise.de man sich mehr auf anderes konzentriert, und die "security"-Seite dann nur der Abklatsch von anderem ist. Natürlich sind andere Seiten viel schlechter, aber heise.de könnte es etwas besser aufarbeiten.
      Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.