In den letzten Tagen gefährden zwei Hackerangriffe die IT-Sicherheit italienischer Nutzer. Beide nutzen den Trick mit den falschen Rechnungen
Öffnen Sie diese E-Mail-Nachricht nicht: Sie könnte einen Virus enthalten. Dies ist keine allgemeine Warnung, sondern ein konkreter Hinweis auf zwei Hackerangriffe, die derzeit in Italien von einer nicht identifizierten Gruppe von Cyberkriminellen durchgeführt werden, die darauf abzielen, sensible Daten in großem Umfang zu stehlen.
Die Warnung über den ersten Angriff kommt von der IT-Sicherheitsfirma Yoroi, die eine Mitteilung herausgegeben hat, in der die Dynamik dieses Angriffs erklärt wird, die auch vom Computer Emergency Response Team des Vorsitzes des Ministerrates für öffentliche Verwaltung (CERT-PA) bestätigt wurde. Es handelt sich um einen Angriff namens SLoad-ITA, die lokalisierte italienische Version einer Hackerkampagne, die bereits im Mai gegen Nutzer im Vereinigten Königreich durchgeführt wurde. Tausende von Postfächern wurden bereits erreicht: Der Angriff begann am 10. November, und die Spitzenwerte wurden zwischen dem 19. und 24. November verzeichnet. Der zweite Angriff wurde gestern von CERT-PA mitgeteilt und betrifft die Verbreitung des Torjaners Danabot; die erste infizierte E-Mail wurde am Morgen des 27. November 2018 entdeckt.
Wie die Viren SLoad-ITA und Danabot funktionieren
Die Infektion mit SLoad-ITA geht, wie gesagt, auf eine klassische betrügerische E-Mail zurück, die zum Öffnen einer elektronischen Rechnung aus dem Juli auffordert. Wenn Sie auf den Link zum Herunterladen der Rechnung klicken, wird eine ZIP-Datei heruntergeladen, die ein Bild im PNG-Format und einen LNK-Link enthält. Wenn Sie auf die LNK-Datei klicken, wird der eigentliche Schadcode ausgeführt, der jedoch in der vorherigen ZIP-Datei versteckt ist. Dank dieser Raffinesse kann dieser Angriff die meisten Antivirenprüfungen von E-Mail-Postfächern umgehen. Dieser Code lädt dann weitere Dateien herunter, die er auf dem zu infizierenden Computer versteckt, um Informationen über alle betroffenen Geräte zu stehlen.
Der Danabot-Trojaner funktioniert auf sehr ähnliche Weise: Die übliche E-Mail lädt zum Download der üblichen Rechnung ein, diesmal mit dem Datum November 2018, und wenn wir auf den Link klicken, wird eine komprimierte Datei heruntergeladen, diesmal im Rar-Format. In der Rar-Datei befindet sich ein Skript, das, sobald es ausgeführt wird, den Danabot-Trojaner auf den PC herunterlädt, den es infiziert. Die dritte Stufe besteht darin, die Malware so zu programmieren, dass sie bei jedem Neustart des PCs ausgeführt wird, um einen möglichen Antiviren-Scan zu bekämpfen.
Die Gefahren von SLoad-ITA und Danabot
Was genau machen diese beiden neuen Viren, die sich in Italien rasant verbreiten,? Im Fall von SLoad-ITA sammelt der bösartige Code Informationen über unseren Computer, z. B. über die von uns verwendeten Anwendungen, Daten über unsere Internetverbindung, und macht regelmäßig Screenshots von unserem Desktop. All diese Informationen werden dann ohne unser Wissen an die Server des Hackers gesendet, die daraufhin weitere Dateien senden (die sich von den vorherigen unterscheiden), aber ebenfalls infiziert sind und neue Teile des Schadcodes enthalten. Der Danabot-Trojaner hingegen versucht, Systemanmeldeinformationen (Logins und Passwörter), Browser- und E-Mail-Client-Anmeldeinformationen zu stehlen und schließlich über VNC- und RDP-Systeme Fernzugriff auf unseren PC zu erhalten. In beiden Fällen handelt es sich also um ausgeklügelte Cyberspionage-Kampagnen, die darauf abzielen, riesige Mengen an Informationen über die Gewohnheiten von (potenziell) Millionen von Nutzern zu sammeln.
So schützen Sie sich vor SLoad-ITA und Danabot
Aufgrund der Funktionsweise von SLoad-ITA schafft es die beleidigende E-Mail derzeit durch die Virenfilter der meisten E-Mail-Postfächer. Das ständige Herunterladen verschiedener infizierter Dateien verringert auch die Wirksamkeit eines lokalen Antiviren-Scans auf dem bereits infizierten PC, da sich der Virus ständig verändert. Danabot ist weniger fortschrittlich, aber immer noch schwer aus dem E-Mail-Antispam herauszufiltern.
Die beste Vorsichtsmaßnahme zur Abwehr von SLoad-ITA und Danabot ist daher im Moment auch die am wenigsten technische: Machen Sie die Augen auf, und wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, eine E-Mail-Rechnung von einer Ihnen unbekannten Adresse herunterzuladen, vernichten Sie sie sofort.