post

Banking-Trojaner Retefe ist wieder aktiv

Eine neue Ausbreitung des Banking-Trojaners Retefe ist derzeit im Gang. Das Internet Storm Center (ISC) beobachtet insbesondere in der Schweiz, Österreich, Schweden und Japan ein Anstieg solcher Computer-Infektionen. Retefe hat Windows-Anwender im Visier und verteilt sich hauptsächlich über schädliche E-Mail-Anhänge.

Installation von gefälschtem Zertifikat auf dem Computer

In Windows erfasst Retefe einen neuen DNS-Server und installiert ein Zertifikat. Das Opfer landet daher auf einer Seite der Cyberkriminellen, wenn die Website der Bank aufgerufen wird. Diese Verbindung ist sogar verschlüsselt und wird vom Webbrowser als vertrauenswürdig eingestuft, weil das Zertifikat von dem Trojaner beglaubigt wurde. Was Retefe besonders raffiniert und gefährlich macht: Der Trojaner löscht sich selbst und bleibt dem Virenscanner dadurch unbemerkt.

Der nächste Schritt des Angriffs geschieht auf dem Smartphone: In Android wird dem Nutzer ein Trojaner untergeschoben, welcher den von der Bank per SMS versandten Token abfängt und damit die Zwei-Faktor-Authentifizierung aushebelt.

Wie die betrügerischen E-Mails daherkommen, ist derzeit nicht bekannt. Aktuell werden hauptsächlich Zip-Dateien mit schädlichem JavaScript als Verursacher eruiert. Die Akteure hinter Erpressungs-Trojanern wie Petya haben in vergangenen Fällen auf gefälschte Bewerbungs- und Rechnungsschreiben als Verbreitungsweg gesetzt.

Retefe ist seit 2013 bekannt und verbreitete sich in der Schweiz erstmals 2014. Gemäss der Melde- und Analysestelle Informationssicherung (Melani) haben die meisten Schweizer Banken damals Massnahmen gegen den Trojaner getroffen.

Vorsichtsmassnahmen

Für solche Bedrohungen sollten insbesondere Betriebssystem und Software immer auf dem aktuellsten Stand gehalten werden. Das Öffnen von Attachments sollte nur mit höchster Vorsicht durchgeführt werden. Des Weiteren ist ein aktueller Antivirenschutz und eine regelmässige Datensicherung Pflicht. Unter Android sollten keine Applikationen aus inoffiziellen Quellen installiert werden. Benutzen Sie nur den offiziellen Google Play Store. Genauere Präventionsmassnahmen haben wir im Beitrag zum Krypto-Trojaner Locky und E-Mail mit infizierter Zip-Datei beschrieben.

Möchten Sie Ihr Unternehmensnetzwerk gegen Bedrohungen sichern und professionell schützen? InfoSoft Systems ist Ihr Partner für IT-Lösungen. Nehmen Sie mit uns Kontakt auf.

Quelle: heise.de

 

post

Passwörter von 6‘000 E-Mail-Konten bekannt

Die Melde- und Analysestelle Informationssicherung MELANI hat 6000 Adressen zu E-Mail Konten erhalten, die offenbar gehackt wurden. Diese Daten könnten möglicherweise für illegale Zwecke missbraucht werden. Die entsprechenden Zugangsdaten könnten für Betrug, Erpressung, Phishing usw. unrechtmässig verwendet werden.

Ist meine E-Mailadresse davon betroffen?

MELANI hat aufgrund dessen ein Online-Tool publiziert, mit dem umgehend überprüft werden kann, ob eine E-Mail Adresse davon betroffen ist. Das Tool kann unter https://www.checktool.ch aufgerufen werden. MELANI rät allen Personen und Unternehmen, diesen Check durchzuführen. Sollte ein E-Mail-Konto betroffen sein, gibt das Online-Tool eine entsprechende Meldung aus.

Ist Ihre E-Mailadresse davon betroffen, empfiehlt MELANI folgende Massnahmen:

  • Ändern Sie das Passwort des E-Mail-Kontos sofort.
  • Auch alle anderen online verwendeten Passwörter sollten unverzüglich geändert werden. Insbesondere, wenn Sie das für das E-Mail-Konto verwendete Passwort auch für andere Dienste (Online-Shops, E-Banking usw.) verwendet haben.
  • Alle in den E-Mail-Kontakten aufgeführten Personen dahingehend informieren, dass sie beim Empfang von E-Mails mit Ihrem Absender vorsichtig sein und im Zweifelsfall bei Ihnen rückfragen sollen.
  • Überprüfen Sie in den nächsten Wochen jegliche Art von Kontoauszügen, iTunes-Belastungen usw. Sollten Sie Unregelmässigkeiten feststellen, setzen Sie sich bitte sofort mit Ihrer Bank respektive dem entsprechenden Unternehmen in Verbindung.

MELANI empfiehlt zusätzlich folgende Links zu konsultieren für den sicheren Umgang im Internet und mit Online-Diensten:

post

Trojaner-Mail im Namen des Kopierers

Gemäss Heise online versenden Kriminelle aktuell gehäuft E-Mails mit Schadcode im Anhang über gefälschte Absenderadressen von Netzwerk-Kopierern.

Heimtückischer Täuschungsversuch

Mitarbeitende sollten aktuell den Absender von E-Mails mit Dateianhang besonders intensiv prüfen. Derzeit sind gehäuft Trojaner-Mails mit der Absenderadresse kopierer@topleveldomain.de im Umlauf. Die Topleveldomain wird dabei von der Domain des jeweiligen Unternehmens ersetzt. Wie die Einschleusung der E-Mail-Trojaner gelingen konnte, wurde noch nicht veröffentlicht.  Insbesondere Firmen sind deshalb von diesem Täuschungsversuch gefährdet.

Da viele Firmen Netzwerk-Drucker und -Kopierer einsetzen die E-Mails verschicken können, ist diese Absenderadresse besonders heimtückisch. Nutzer sollten sich vor diesem Hintergrund nicht dazu verleiten lassen, den Dateianhang zu öffnen.

Wie kann ich mich schützen?

Prüfen Sie insbesondere E-Mails mit Dateianhängen auf die Vertrauenswürdigkeit. Wenn Sie eine verdächtige E-Mail erhalten, vergewissern Sie sich zuerst, ob Sie beispielsweise einen Scan- oder Druckauftrag initiiert haben. Vergleichen Sie die Absenderadresse mit der Absenderadresse, welche bisher erschien, wenn Sie E-Mails vom Drucker erhalten haben.

Wer eine derartige E-Mail empfängt, sollte diese umgehend löschen. Denn im Anhang befindet sich ein Word-Dokument mit schädlichen Makros. Öffnet ein Nutzer diese Datei, versuchen die Makros Schadsoftware auf den Computer zu laden.

Weitere Informationen zum Schutz gegen E-Mails mit Schadsoftware und betrügerischen Absichten erhalten Sie hier.

post

Verschlüsselungstrojaner TeslaCrypt im Umlauf

Diverse Meldungen in den letzten Tagen über die Schadsoftware TeslaCrypt an die Schweizerische Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser Variante von Schadsoftware. Diese Schadsoftware (auch Ransomware genannt) verschlüsselt Daten und fordert anschliessend ein Lösegeld für die Wiederherstellung.

TeslaCrypt scheint sich fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung). Ähnliche Vorgänge sind durch Schadsoftware Cryptolocker, Synolocker, Cryptowall etc. bekannt.

Schwierigkeit: Dateiwiederherstellung

Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zusenden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.

Massnahmen:

  • Wichtige Dateien sollten regelmässig auf externe Datenträger kopiert werden (Backup) und anschliessend getrennt aufbewahrt werden.
  • Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
  • Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
  • Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
  • Eine Personal Firewall muss installiert sein und aktuell gehalten werden.
  • Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik „Wie schütze ich mich?„.

Im Falle einer Infektion

MELANI empfiehlt den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Diese Massnahme sollte zusammen mit einem Computerspezialisten durchgeführt werden. Nachdem diese Massnahmen erledigt wurden, können dann die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit sie allenfalls später noch entschlüsselt werden können.

Folgende Dateitypen können von der Schadsoftware TeslaCrypt verschlüsselt werden:

.7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb;
.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh;
.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;
.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;
.mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm;
.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

Nach der Verschlüsselung werden die ursprünglichen Dateierweiterungen durch die Erweiterung .ecc ersetzt. Ausserdem löscht die Ransomware alle Schattenkopien und sogar Wiederherstellungspunkte, damit Sie keine Systemwiederherstellung durchführen können.

Der Desktop-Hintergrund wird danach durch eine Nachricht von TeslaCrypt ersetzt und es erscheint eine neue Datei mit dem Namen „HELP_TO_DECRYPT_YOUR_FILES.txt“ auf dem Desktop. Dabei handelt es sich um eine Anleitung, wie das Lösegeld bezahlt werden kann und wie der Entschlüssler funktioniert. Ausserdem erhalten Sie eine Entschlüsselungsbestätigung, die besagt, dass Ihre Dateien entschlüsselt werden, nachdem Sie den geforderten Geldbetrag bezahlt haben.

Kunden

Wenn Ihnen ein Anhang verdächtig vorkommt oder Sie etwas ungewöhnliches feststellen, können Sie unseren technischen Support kontaktieren.

Weitere Informationen erhalten Sie auf www.melani.admin.ch

 

post

E-Mail mit infizierter Zip-Datei von bekannten Kontakten

Zurzeit sind E-Mails im Umlauf mit Verdacht auf Viren. Sie wollen dem Empfänger eine Echtheit suggerieren, indem Absenderinformationen von bekannten Kontakten angezeigt werden. Die E-Mail erscheint mit unterschiedlichem Betreff, Text und Zip-Dateien im Anhang. Der Text ist meistens in Englisch.

Was alle diese E-Mails gemeinsam haben ist, dass sie von bekannten Absendern stammen. Sobald die Zip-Datei im Anhang geöffnet wird, nistet sich ein Programm ein, welches die E-Mail an sämtliche Kontakte in Ihrem Outlook-Adressbuch weiterleitet. Ausserdem kann es auch die Signatur des Absenders übernehmen und wirkt dadurch noch echter. Folgende Beispiele sind uns bekannt:

E-Mail Betreff:

  • Draft of the contract
  • Files to be executed
  • invoice

Nachrichtentext:

  • Please see attached the executed document from our side. You can send us a scan-copy after signing. Paul Sifer, Attorney
  • Check invoices

Dateianhänge:

  • tax.zip
  • invoices.zip
  • FAX_75295358_518.zip
  • scans.zip

Andere Varianten sind möglich,  zukünftig ist wahrscheinlich noch mit raffinierteren Varianten zu rechnen, vielleicht sogar in deutsch. Wenn Sie eine solche E-Mail erhalten, sollten Sie sie umgehend löschen und den Absender benachrichtigen. Neben dem potenziellen Reputationsverlust sind weitere Bedrohungen für den Computer möglich. Was das konkret sein könnte ist zurzeit nicht bekannt. Die Rücksprache mit bekannten Virenschutzherstellern hat zu keinen Ergebnissen geführt.

Unsere Empfehlung im Mailverkehr

Vor dem Öffnen von Dateianhängen immer Vorsicht walten lassen:

  • Erwarten Sie einen Dateianhang von diesem Absender?
  • Ist der Dateiname sinnvoll? (Z. B.: Schickt mir Max Muster aus Dagmersellen eine Datei mit dem Namen tax.zip?)
  • Ergibt der Betreff Sinn? (Z.B.: Schickt mein Lieferant mir eine Mail mit dem Titel“invoice“?)
  • Ergibt der Mailinhalt Sinn? (Z.B.: Schickt mein Verwandter mir eine Mail mit dem Text „Your Delivery“?)
  • Ergibt das Gesamtbild des E-Mails Sinn?
  • Im Zweifelsfall: Absender kontaktieren und nachfragen

Grundsätzliches

  • Stets einen aktuellen Virenschutz pflegen
  • Meldungen vom Virenschutzprogramm nicht ignorieren
  • Immer Absender, Betreff und Text überprüfen bevor Anhänge oder Links angeklickt werden
  • Auch bei bekannten Absendern kritisch sein
  • Bei E-Mails in Fremdsprache (insbesondere Englisch) kritisch sein

Im Zweifelsfall:

  • Lokale IT-Systemadministration benachrichtigen

Haben Sie weitere Fragen?

Wir unterstützen Sie gerne im Bereich IT-Security, E-Mailkommunikation und Virenschutz. Nehmen Sie mit uns Kontakt auf!