Andere E-Mails, aber derselbe Virus: Die allgegenwärtige Ursnif-Malware greift erneut Online-Bankkonten an
Zwei gefährliche Phishing-E-Mail-Kampagnen, die derzeit in Italien laufen, versuchen, die Namen von zwei bekannten Unternehmen auszunutzen, um einen sehr gefährlichen Virus zu verbreiten. Bei den betroffenen Unternehmen handelt es sich um Vodafone und Enel Energia, und bei dem Virus handelt es sich um den Banking-Trojaner Ursnif, der Ihr Bankkonto leerräumen kann.
Die gefälschten Vodafone-E-Mails wurden von dem Sicherheitsforscher JamesWT entdeckt, während die E-Mails, die den Namen von Enel ausnutzen, von dem italienischen Cybersicherheitsunternehmen D3Lab entdeckt wurden, das auch mit dem Computer Emergency Response Team (Cert) der Agentur für digitales Italien zusammenarbeitet, die zum Büro des Premierministers gehört. Beide Kampagnen zielen darauf ab, den Virus Ursnif zu verbreiten, einen Trojaner, der laut Trend Micro ein enger Verwandter von Emotet, Gozi, BitPaymer, Dridex und GameOver Zeus ist. Hier erfahren Sie, wie Sie gefälschte E-Mails erkennen, um sich vor dem Angriff zu schützen.
Gefälschte Vodafone-E-Mail mit Ursnif-Virus: So erkennen Sie sie
Die gefälschte Vodafone-E-Mail ist am einfachsten zu erkennen, da sie einen sehr unglaublichen Absender hat: [email protected]. Das Problem ist, dass viele Nutzer den Absender nicht lesen und den Text der E-Mail für echt halten.
Leider zeigt auch der Text der Nachricht die klassischen Anzeichen, die die Empfänger alarmieren sollten. Insbesondere gibt es grammatikalische Fehler: "Wie von Ihnen gewünscht, haben wir Ihr Telefonkonto von Ihrem bisherigen Anbieter auf Vodafone umgestellt, indem wir das Vodafone Ready Angebot aktiviert haben. In der Anlage finden Sie die Datei mit den Einzelheiten und Kosten der Umstellung, die monatlich direkt von dem von Ihnen angegebenen Bankkonto abgebucht werden".
Im Anhang finden Sie eine ebenso unglaubliche Datei "IlUfY.zip". Aber wenn der unglückliche Benutzer den Anhang öffnet, findet er eine Excel-Datei mit einer anderen Nachricht darin: "Dieses Dokument ist geschützt. Verschlüsselt durch DucuSign. Um das Dokument anzuzeigen, klicken Sie auf 'Bearbeiten aktivieren' und dann auf 'Inhalt aktivieren'.
Unter der Nachricht befinden sich die Logos von Microsoft, McAfee, Symantec und RSA Security Analytics. Kurz gesagt, ein ganzes Paket völlig falscher Informationen, um den Benutzer dazu zu bringen, auf Ändern aktivieren und Inhalt aktivieren zu klicken, was in der Praxis die Office 365-Befehle sind, um die Ausführung der in der Datei enthaltenen Skripte zu aktivieren.
Gefälschte Enel Energia-E-Mail mit Ursnif-Virus: So erkennen Sie sie
Die zweite Phishing-E-Mail, die in den letzten Stunden im Umlauf war, die im Namen von Enel Energia, ist hingegen ausgefeilter und raffinierter. Der Absender ist in Wirklichkeit [email protected], was ebenso gefälscht, aber viel glaubwürdiger ist als der vorherige Absender. Der Betreff der E-Mail ist ein Klassiker: "Zahlungserinnerung".
Der Text der E-Mail ist in gutem Italienisch, ohne Fehler, und erwähnt einige unbezahlte überfällige Rechnungen. In der Praxis handelt es sich um eine Mahnung zur Begleichung der Rechnungen von Enel Energia, die sich auf mehrere hundert Euro belaufen.
Es fehlt nicht an Daten und Zahlungsmöglichkeiten, dem üblichen Anhang und Links zur Enel-Website. In diesem Fall ist es daher leichter, in die Falle zu tappen, weil es keine offensichtlichen Anzeichen dafür gibt, dass die E-Mail gefälscht ist.
Ursif: Warum es ein sehr gefährlicher Virus ist
Beide E-Mails enthalten die Ursif-Malware. Dies ist einer der am weitesten verbreiteten Banking-Trojaner in Italien (was leider auch bedeutet, dass er einer der effektivsten ist).
Zum Zeitpunkt der Ausführung prüft Ursnif zunächst das Vorhandensein von virtuellen oder Debug-Umgebungen, um festzustellen, ob er frei arbeiten kann oder nicht. Ist dies der Fall, zeigt er eine Warnmeldung mit dem Text "Client app initialization error!"
Dann greift er die beiden Systemprozesse svchost.exe und explorer.exe an und fügt ihnen bösartigen Code zu. Er versucht dann, so viele Informationen wie möglich aus dem System zu stehlen und speichert sie in einer Datei. Anschließend stellt er eine Verbindung zu einem bösartigen Command-and-Control-Server (C&C) her, von dem er weitere Viren herunterlädt.
Sobald er das System übernommen hat, kann Ursnif den Benutzer äußerst effektiv ausspionieren und sogar die Anmeldedaten für alle Online-Konten stehlen. Diese Daten werden an den Remote-Server gesendet, und wenn es sich dabei um Konten für den Zugriff auf Online-Konten handelt, droht Ungemach: Das Opfer wird sich bald mit hohen Kontoständen konfrontiert sehen.