Bitdefender: Verstärkter Malware-Versand im Zusammenhang des Ukraine-Krieges
Remote-Access-Trojaner in Anhängen an Produktionsunternehmen
Cyberkrieg ist ein dominanter IT-Aspekt des aktuellen Konflikts. Außerhalb der direkt involvierten Staaten versenden derzeit Spam-Trittbrettfahrer ihre Mails. Je heftiger die Auseinandersetzungen in der Ukraine werden, desto höher ist die Zahl von Online-Betrug oder Malware-Versand über E-Mails. Das perfide Ziel der Kriminellen: Sie möchten die humanitäre Krise und die allgemeine Hilfsbereitschaft der Menschen ausnutzen.
Die Bitdefender Labs beobachteten in den vergangenen Tagen mehrere E-Mail-Kampagnen, die sich zum Teil gegen Unternehmen richten und auch in deutschen Mailboxen landen.
Agent Tesla Remote-Access-Trojaner: Hacker greifen Unternehmen in der Produktionsbranche mit Agent Tesla an. Dabei handelt es sich um einen ein so genannten „Malware-as-a-Service-Remote-Access-Trojaner“ (MaaS RAT). Hackern haben diesen vor allem in der Pandemie für zahlreiche E-Mail-Kampagnen genutzt, um Daten zu stehlen. Die Spam-Mails versuchen, das bösartige Tool über einen ZIP-Anhang mit dem Namen „REQ Supplier Survey“ zu verbreiten. Laut Mail sollen die Empfänger in einer Studie Auskunft über ihre Backup-Pläne angesichts des Ukraine-Kriegs geben. Ein Discord-Link lädt den bösartige Payload direkt auf das System des Opfers herunter. Um die Nutzer abzulenken, wird zusätzlich eine sichere Chrome-Version heruntergeladen. Die Mails haben zu 86 Prozent eine niederländische IP-Adresse. Die Angreifer versenden sie weltweit.
Remcos RAT: Die Bitdefender-Fachleute beobachten seit dem 2. März eine weitere Malware-Spam-Kampagne. Hier geben sich die Angreifer als ein südkoreanischer Spezialist für Analysegeräte zur In-Vitro-Diagnostik aus. Über eine Excel-Tabelle im Anhang (SUCT220002) verbreiten sie die Remcos-RAT-Malware. So können die Cyberkriminellen über infizierte Dokumente oder Archive die volle Kontrolle über die angegriffenen Systeme erlangen. Remcos RAT zeichnet Tastatureingaben, Screenshots, Zugangsdaten oder andere sensible Systeminformationen auf und exfiltriert diese auf die Server der Urheber.
Betrügerische Spendenaufrufe: In betrügerischen Mails geben Scammer vor, der ukrainischen Regierung oder Organisationen wie Act for Peace, Unicef und dem Ukraine Crisis Relief Fund anzugehören. Sie bitten dann unter verschiedenen Betreffzeilen um Geldspenden für die ukrainische Armee oder um Hilfe für die Zivilbevölkerung im Kriegsgebiet. Sieben Prozent der Mails mit dem Betreff „Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum and USDT“ landeten bislang bei deutschen Empfängern – 25 Prozent in Großbritannien, 14 Prozent in den USA, zehn Prozent in Südkorea, acht Prozent in Japan, vier Prozent in Rumänien und je zwei Prozent in Griechenland, Finnland und Italien.
Der nigerianische Prinz: Betrüger greifen dieses bekannte Cyberscam-Motiv wieder auf und verbreiten es vor allem in Deutschland. Ein Geschäftsmann aus der Ukraine bittet angeblich um Hilfe beim Transfer von zehn Millionen Dollar, bis er es wieder selbst sicher deponieren kann. Nimmt das Opfer Kontakt auf, fragen die Angreifer ihn vermutlich nach persönlichen Informationen, versprechen eine Belohnung und bitten um Geld zum Beispiel für das Zahlen von Bankgebühren. Dann sehen die Opfer das Geld nicht mehr wieder. Die IP-Adressen der Absender befinden sich zu 83 Prozent in Botswana, zu zehn Prozent in Deutschland, zu fünf Prozent in Frankreich.
Angesichts dieser Welle von E-Mail-Scams, die sich hinter emotionalen Appellen verbergen, sollten man gerade jetzt die üblichen Sorgfaltsregeln im Umgang mit unerwarteten Mails befolgen. Dazu gehört, nicht auf Links oder Anhänge, die um eine dringende Spende bitten, zu klicken. Eine Spende sollte nur über offizielle und anerkannte Organisationen erfolgen. Darüber hinaus ist es wichtig, Bankkonten regelmäßig auf verdächtige Aktivitäten zu überprüfen.
Lesen Sie mehr zum Thema
