Das BSI warnt aktuell vor Phishing-Mails im Namen des Bundesgesundheitsministeriums. Darauf verweist CERT-Bund in einem Twitter-Tweet.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer sowohl dreisten, als auch gefährlichen Phishing-Kampagne. Hierbei geben sich die Phishing-Mail-Verfasser als Gesundheitsminister Jens Spahn aus. Mit einem vorgetäuschten, lukrativen Auftrag für die Bundesregierung wollen
Cyber-Betrüger offensichtlich insbesondere Unternehmer ködern,
berichtet t-online.de.
Die Notfallgruppe beim Bundesamt für Sicherheit in der Informationstechnik BSI
„Computer Emergency Response Team“ der Bundesverwaltung, kurz CERT-Bund, weist auf Twitter darauf hin, dass gerade vermehrt Phishing-Mails im Namen des Bundesgesundheitsministeriums im Umlauf sind. CERT-Bund, eine Gruppe von EDV-Sicherheitsfachleuten, macht darauf aufmerksam, dass die Nachrichten im Mail-Anhang eine bekannte Schadsoftware aufweisen. CERT-Bund gehört zum Bundesamt für Sicherheit in der Informationstechnik. Günther Ennen vom BSI
erläuterte die Aufgaben von CERT-Bund dabei wie folgt:
„Vergleichbar zu den Feuerwehren hat das Computer Emergency Response Team , kurz CERT, die Aufgabe, vor Risiken zu warnen und bei entstandenen Schäden mit geeigneten Löschmitteln die Risiken einzudämmen sowie auch die Ursachen eines Brandes dann zu löschen.“
Phishing-Mail-Anhang verbirgt Schadsoftware
Die Phishing-Mail ist auf Englisch verfasst. Mit dem Auftrag, ein Angebot zu nicht näher bezeichneten Produkten oder Materialien für die Bundesregierung zu erstellen, richtet sich angeblich „Jens Spahn“ selbst an potentielle Lieferanten. Man verweist in der E-Mail darauf, dass sich eine detaillierte Aufstellung zu den benötigten Komponenten im Mail-Anhang befindet. Allerdings versteckt sich in der angehängten zip-Datei ein ausführbares Programm. Beim Ausführen dieser Datei wird die Schadsoftware „GuLoader“ installiert. Das System
ist so alt wie effektiv.
Trojan.GuLoader ist ein erweiterter Downloader, der ferner zusätzliche Malware herunterladen und installieren kann. Bedrohungsakteuren verwenden ihn, um infolge Malware in großem Umfang zu verbreiten. Downloader sind oftmals die erste Phase der Infektion durch Angriffe mit einem Exploit-Kit oder einem böswilligen E-Mail-Anhang in Phishing-Mails. Sie sind normalerweise klein und zudem vorprogrammiert, um andere schädliche Dateien herunterzuladen und zu starten.
In der Regel werden RATs / Stealer wie Agent Tesla, Arkei / Vidar, Formbook, Lokibot, Netwire und Remcos häufig von beliebten Cloud-Diensten, wie Google Drive, aber auch OneDrive und Dropbox heruntergeladen. GuLoader ist eine Malware-Familie, die Ende 2019 aufgetaucht ist. Er ist in Visual Basic 6 (VB6) geschrieben, einem Wrapper für eine Kernnutzlast, die als Shellcode implementiert ist. Der Shellcode selbst wird verschlüsselt und später stark verschleiert, was infolge eine statische Analyse erschwert.
Tarnkappe.info