Cyberkriminelle verschicken derzeit E-Mails mit angeblichen Steuerrückzahlungen. Mitunter kommt dabei die Schadsoftware Emotet zum Einsatz.
Eine nachgemachte E-Mail im Namen des Bundeszentralamtes für Steuern (BZSt) lockt derzeit unwissende Nutzer in die Falle. Mit einer angeblichen Steuerrückerstattung und einer Word-Datei im Anhang versuchen Cyberkriminelle ihre Opfer dazu zu bringen, damit diese die verseuchte .docx-Datei öffnen. Danach kommt vielfach die Schadsoftware Emotet zum Einsatz.
Mit dem Betreff „Wichtige informationen uber Steuerruckerstattung“ schlagen derzeit die Herzen einiger Steuerzahler höher. Doch wenn sie die Datei mit den Details ihrer Erstattung öffnen wollen, erleben sie ihr blaues Wunder.
Betrügerische E-Mails im Namen des Finanzamtes sind keine Neuheit
Bereits in der Vergangenheit gab es gefakte E-Mails, die angeblich im Namen eines Finanzamtes verschickt wurden. So versuchte man mehrfach die persönlichen Daten zu stehlen in Form von Phishing-Mails. Dies geschah auch im Bereich des Online-Bankings. Auch Malware wie „Emotet“ kam dabei zum Einsatz.
Emotet: Was ist das eigentlich?
Emotet ist eine Malware in Form eines „Banking-Trojaners“, der über Makros in einer .docx-Datei weitere Schadprogramme herunterlädt. In den vergangenen Monaten hat Emotet Module wie „Mimikatz„, „Ryuk„, „Trickbot“ etc. auf den zu infizierenden PC nachgeladen. Emotet ist die zweite Generation der Malware „Geodo“, welche ursprünglich über einen „Man-in-the-Browser“-Angriff die Zugangsdaten von Online-Banking Nutzern abgreift. Emotet besitzt aber einen neuen und modularen Aufbau. Zuerst wird nach der Öffnung der .docx-Datei das Kernprogramm von Emotet nachgeladen und ausgeführt, welches danach die Schadfunktionen nachlädt. Emotet ist bekannt dafür, dass es die Zugangsdaten aus Browsern und die Outlook-Adressbücher ausliest. Doch was es unberechenbarer macht, sind die nachgeladenen Module wie beispielsweise „Mimikatz“ oder die Ransomware „Ryuk“. Im folgenden Beispiel erstellt Emotet den Command-and-Control Pfad auf einem infizierten System, von dem es dann weitere Anweisungen erhält.
This is where #Emotet generates the C2 webpath.
Python POC:https://t.co/YZqXw1ahWh pic.twitter.com/W6m52sIkPr
— GRUzzly Bear (@1nternaut) September 26, 2019
Emotet: Wie sieht so eine Fake-Mail aus?
Erstmals muss erwähnt werden, dass die Nachrichten „exotisch“ formuliert sind. Das heißt, dass sie eine unübliche Ausdrucksweise haben, die man so im normalen Vokabular gar nicht in diesem Kontext verwenden würde. Des Weiteren hat man die Nachrichten nicht personalisiert. Das heißt, dass der Empfänger nicht persönlich mit seinem Vor- und Nachnamen angesprochen wird. Die E-Mails enthalten auch sonst keine persönlichen Angaben des Empfängers. Der Grund dafür ist einfach. Die Phisher haben lediglich eine Datenbank mit den gültigen E-Mails aber nicht mit den dazu passenden persönlichen Daten benutzt.
Der Absender lautet: Bundeszentralamt fur Steuern
Die Betreffzeile lautet: „Wichtige informationen uber Steuerruckerstattung“
Was sollte ich bei Erhalt dieser E-Mail tun?
Auf gar keinen Fall öffnen, am besten direkt löschen! Wenn sie neugierig oder sich unsicher sind, dann laden sie das angehängte Word-Dokument bei Virustotal hoch. Lassen Sie es dort scannen von der großen Auswahl an verfügbaren Virenscannern. Anderenfalls droht Ihnen der Super-GAU, wenn Sie die Datei versehentlich öffnen sollten! Man wüsste halt erst hinterher, welche Schadsoftware dieses Mal nachgeladen wird. Emotet läuft dann schon, es ist dann möglicherweise schon für eine Gegenwehr zu spät.
Foto Werner Moser, thx!
Tarnkappe.info
