Phishing-Mails: Vermeintlicher „Jens Spahn“ verschickt Schadsoftware

Das BSI warnt aktuell vor Phishing-Mails im Namen des Bundesgesundheitsministeriums. Darauf verweist CERT-Bund in einem Twitter-Tweet.

In Pocket speichern
Bedrohungsakteure verbreiten Phishing-Mails
Bildquelle: YAGO_MEDIA

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell vor einer sowohl dreisten, als auch gefährlichen Phishing-Kampagne. Hierbei geben sich die Phishing-Mail-Verfasser als Gesundheitsminister Jens Spahn aus. Mit einem vorgetäuschten, lukrativen Auftrag für die Bundesregierung wollen Cyber-Betrüger offensichtlich insbesondere Unternehmer ködern, berichtet t-online.de.

Die Notfallgruppe beim Bundesamt für Sicherheit in der Informationstechnik BSI „Computer Emergency Response Team“ der Bundesverwaltung, kurz CERT-Bund, weist auf Twitter darauf hin, dass gerade vermehrt Phishing-Mails im Namen des Bundesgesundheitsministeriums im Umlauf sind. CERT-Bund, eine Gruppe von EDV-Sicherheitsfachleuten, macht darauf aufmerksam, dass die Nachrichten im Mail-Anhang eine bekannte Schadsoftware aufweisen. CERT-Bund gehört zum Bundesamt für Sicherheit in der Informationstechnik. Günther Ennen vom BSI erläuterte die Aufgaben von CERT-Bund dabei wie folgt:

„Vergleichbar zu den Feuerwehren hat das Computer Emergency Response Team , kurz CERT, die Aufgabe, vor Risiken zu warnen und bei entstandenen Schäden mit geeigneten Löschmitteln die Risiken einzudämmen sowie auch die Ursachen eines Brandes dann zu löschen.“

Verbraucherzentrale NRW warnt vor Phishing-Mails

Lesen Sie auch

Phishing-Mail-Anhang verbirgt Schadsoftware

Die Phishing-Mail ist auf Englisch verfasst. Mit dem Auftrag, ein Angebot zu nicht näher bezeichneten Produkten oder Materialien für die Bundesregierung zu erstellen, richtet sich angeblich „Jens Spahn“ selbst an potentielle Lieferanten. Man verweist in der E-Mail darauf, dass sich eine detaillierte Aufstellung zu den benötigten Komponenten im Mail-Anhang befindet. Allerdings versteckt sich in der angehängten zip-Datei ein ausführbares Programm. Beim Ausführen dieser Datei wird die Schadsoftware „GuLoader“ installiert. Das System ist so alt wie effektiv.

cybercrime

Trojan.GuLoader ist ein erweiterter Downloader, der ferner zusätzliche Malware herunterladen und installieren kann. Bedrohungsakteuren verwenden ihn, um infolge Malware in großem Umfang zu verbreiten. Downloader sind oftmals die erste Phase der Infektion durch Angriffe mit einem Exploit-Kit oder einem böswilligen E-Mail-Anhang in Phishing-Mails. Sie sind normalerweise klein und zudem vorprogrammiert, um andere schädliche Dateien herunterzuladen und zu starten.

In der Regel werden RATs / Stealer wie Agent Tesla, Arkei / Vidar, Formbook, Lokibot, Netwire und Remcos häufig von beliebten Cloud-Diensten, wie Google Drive, aber auch OneDrive und Dropbox heruntergeladen. GuLoader ist eine Malware-Familie, die Ende 2019 aufgetaucht ist. Er ist in Visual Basic 6 (VB6) geschrieben, einem Wrapper für eine Kernnutzlast, die als Shellcode implementiert ist. Der Shellcode selbst wird verschlüsselt und später stark verschleiert, was infolge eine statische Analyse erschwert.

Tarnkappe.info

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.