Malspam-Welle in Italien: Vorsicht vor Rechnungen im Anhang von Mails mit unbekannten Adressen
Zwei Arten von Hackerangriffen durch Cyberkriminelle finden in Italien in letzter Zeit statt. Wir haben darüber in diesem Artikel berichtet, der auch von Federprivacy, dem wichtigsten italienischen Datenschutzverband, aufgegriffen wurde.
Die Angriffe, die darauf abzielen, die als SLoad-ITA und Danabot bekannten Viren zu verbreiten, haben die Form einer klassischen betrügerischen E-Mail, in der wir aufgefordert werden, Links oder angehängte Dokumente wie eine elektronische Rechnung zu öffnen.
Die beste Vorsichtsmaßnahme ist daher im Moment immer die "klassischste" und der Vorsicht des Benutzers anvertraute: nicht öffnen und sofort löschen, wenn eine E-Mail zum Herunterladen solcher Dokumente einlädt insbesondere von einem unbekannten Absender oder einer unbekannten Adresse. In der Tat ist es immer sinnvoll, E-Mails von bekannten Absendern sorgfältig zu analysieren, bevor man sich auf Links oder Downloads einlässt: Sie könnten selbst infiziert oder gefälscht sein.
Was ist der SLoad-ITA-Virus
SLoad-ITA ist, wie der Name schon sagt, die italienische Version eines Hackerangriffs, der im Mai 2018 im Vereinigten Königreich stattfand. Es handelt sich um einen Malspam-Angriff, bei dem die Malware, die den Computer infiziert, über eine massive Spam-Kampagne versendet wird, die darauf abzielt, möglichst viele Benutzer zu befallen. Um dies zu erreichen, haben die Cyberkriminellen auch Social-Engineering-Techniken eingesetzt, um sich als maßgebliche Gesprächspartner zu etablieren und die Nutzer davon zu überzeugen, genau das zu tun, was sie von ihnen wollen.
Um die Nutzer auszutricksen, sendet die Hackergruppe, die hinter dem SLoad-ITA-Angriff steckt, eine E-Mail-Nachricht, in der eine ausstehende Rechnung (im Anhang) aus dem Juli 2018 angekündigt wird. Beim Herunterladen des Anhangs stellt man jedoch fest, dass es sich um eine ZIP-Datei (d. h. einen komprimierten Ordner) und nicht um eine PDF- oder DOC-Datei handelt, wie man vielleicht erwarten würde. Wenn Sie die komprimierte Datei öffnen, finden Sie zwei Dateien: ein Bild und eine Datei mit der Erweiterung LNK. Beim Versuch, die LNK-Datei zu öffnen, wird lediglich die Malware gestartet, ein RAT-Trojaner (steht für Remote Access Trojan), der Hackern Zugang zu den Daten auf unserer Festplatte verschafft und es ermöglicht, andere Malware herunterzuladen, ohne dass der Benutzer dies bemerkt.
Speziell SLoad-ITA wäre in der Lage, regelmäßig Screenshots zu erstellen, während wir den Computer benutzen, und diese automatisch an den Hacker zu senden. Auf diese Weise wissen die Cyberkriminellen immer, was wir tun.
Was ist der Danabot-Virus
Die zweite Bedrohung, deren Verbreitung in Italien in den letzten Novembertagen 2018 begann, ist ein Banking-Trojaner, der Sicherheitsexperten auf der ganzen Welt bereits bekannt ist. Nach Angaben von ESET, einem der führenden IT-Sicherheitsunternehmen, handelt es sich bei Danabot um eine modulare und mehrstufige Malware, die von Hackern mit Plugins modifiziert und angepasst werden kann, um sie an die verschiedenen nationalen Gegebenheiten, in denen sie eingesetzt werden kann, anzupassen.
Auch in diesem Fall erfolgte die Verbreitung über eine Spam-E-Mail-Kampagne, die derjenigen zur Verbreitung von SLoad-ITA sehr ähnlich war, was die Vermutung nahelegt, dass sich hinter den beiden Angriffen dieselbe Gruppe verbergen könnte. In diesem Punkt gibt es jedoch keine Gewissheit. Danabot wird über eine komprimierte Datei mit einer RAR-Erweiterung verbreitet, die infizierte Dateien enthält, die sich im Speicher des betroffenen Computers installieren.
Wie bereits erwähnt, bestand der ursprüngliche Zweck von Danabot darin, Bankdaten von angegriffenen Benutzern abzurufen und zu stehlen (Homebanking-Zugangsdaten, Kreditkartennummern usw.). Danabot gibt Hackern nun die Möglichkeit, infizierte Computer fernzusteuern (dank eines Plugins namens VNC); Datenverkehrspakete zu analysieren und verschiedene Informationen über die Gewohnheiten des Benutzers abzurufen (Sniffer-Plugin); Passwörter von Browsern, E-Mail-Clients und anderer auf dem PC installierter Software zu stehlen (Stealer-Plugin).