News und Fakten

Willkommen bei unserem Blog

golden-eye
Dez
09

Golden Eye – Verschlüsselung Trojaner a la James Bond ?

Posted 9. Dezember 2016 by in Allgemein

Der neue und wieder überaus gefährliche Cryptoware Trojaner, der mit dem Namen „Golden Eye“  getauft wurde, erinnert lediglich durch seinen Namen an einen erfolgreichen James Bond Film. Vielleicht ist diese Namensgebung auch doch nicht ganz zufällig gewählt, den beide haben noch etwas gemeinsam: das Spionieren und vielleicht bald auch den gleichen Bekanntheitsgrad.

Nachdem die Schlagzeilen um den Aufreger „Locky“ nun immer weniger werden und sich immer mehr AV-Hersteller auf die Erkennung und Abwehr eines Locky-Angriffes bemüht haben, kommt kurz vor dem Weihnachtsfest ein neuer Verschlüsselungstrojaner mit dem Namen „Golden Eye“ nach Deutschland und greift massiv Personaldienstleister und Firmen an.

Dabei geht der Verschlüsselungstrojaner sehr detailverliebt vor, den er tarnt wieder mal sich als Bewerbungsemail und richtet sich gezielt an Personalabteilungen, die ja für Bewerbungen dankbar sind. Die Mail und das Anschreiben ist so sehr überzeugend, das wohl viele Empfänger die „Bewerbung“ unbedingt öffnen wollen und sich innerhalb von wenigen Sekunden den Crypto-Trojaner einfangen der Ihre Daten auf dem Computer verschlüsselt.

Im Anschluss erscheint ein nicht zu übersehender Hinweis darauf, dass die Daten auf dem Computer verschlüsselt wurden und es wird eine Lösegeldforderung angezeigt. Das Lösegeld ist wie in diesen Kreisen üblich dann per Bitcoins über das Darknet zu begleichen. Ob allerdings nach der Zahlung des virtuellen Lösegelds tatsächlich die entführten Daten wieder frei gelassen werden ist noch unklar. Bislang gibt es noch keine Erfolgsmeldungen dazu zu berichten.

Warum  ist der Cryptoware Trojaner Golden Eye so gefährlich

Der Verschlüsselungstrojaner kommt getarnt als sehr gut gestaltete Bewerbungs E-Mail und enthält eine PDF-Datei (Acrobat) und eine xls-Datei (Excel-Tabelle)
Die PDF-Datei ist ungefährlich und überaus überzeugend geschrieben, bis auf ein, zwei Kommafehler stimmt auch die Grammatik und der Aufbau des Anschreibens wirkt so glaubhaft, dass man schnell in die Versuchung kommt, die angehängte Excel-Datei unbedingt ansehen zu wollen.

Gerade Personaldienstleister und Personalabteilungen erhalten täglich viele Bewerbungsmails, sodass es schnell vorkommen kann, das ein unerfahrener Sachbearbeiter die Excel-Datei auch öffnet und die Warnungen über die Gefahr von Makros die von Excel erzeugt werden, einfach ignorieren und den Anweisungen zum Aktivieren der Makros folgen.

Makrofunktion nicht aktivieren

Bei den neueren Microsoft Excel Versionen ist die Bearbeitung der Datei und die Ausführung von Makros bei Dokumenten die aus dem Netz geladen wurden zuerst einmal blockiert und der Benutzer erhält zunächst eine Warnmeldung, bevor ein Makro in einer Excel-Tabelle tatsächlich ausgeführt werden kann. Allerdings haben die Programmierer mit der Neugierde der Menschen gerechnet und in der Excel Datei gleich ein Anweisung hineingeschrieben, worauf der Benutzer den geschützten Modus von Excel verlassen soll und die Bearbeitungsfunktion und Makros aktivieren kann, um die Datei angeblich vollständig lesen zu können.

Genau dieser vertrauensvoll und effektvoll wirkende Anweisung folgen die Meisten Benutzer und starten damit den eigentlichen Verschlüsselung-Angriff von Goldy Eye. Im Hintergrund, während der Benutzer sich die Bewerbung ansieht, führt der Verschlüsselungstrojaner seine Arbeit aus und lädt sofort die benötigten Programmdateien aus dem Internet nach und beginnt mit seiner Arbeit – der Verschlüsselung der Festplatte des Benutzers.

Social Engineering

Da in Falle von Golden Eye die Mails auch sehr oft an die richtigen Mitarbeiter im Unternehmen gerichtet sind und diese zudem auch noch direkt mit dem richtigen Namen angesprochen werden, ist davon auszugehen, dass die Programmierer von Golden Eye irgendwo ein Datenleck nutzen um an die „richtigen Namen und E-Mail Adressen“ zu kommen. Das Arbeitsamt hat diesen Vorwurf erste einmal global zurück gewiesen und behauptet kein Datenleck zu haben. Doch es gibt noch unzählige andere Job-Portale wo die korrekten E-Mail Adressen und Namen gesführt werden und die einen Hackerangriff oder Datenleck vielleicht noch nicht bemerkt haben.

Unter dem Begriff Social Engineering versteht man, dass sich die Angreifer bereits vor dem Angriff über möglichst präzise Details seines Opfers informieren um dann mit den gesammelten Informationen das Vertrauen oder die Glaubwürdigkeit zu untermauern. Im Klartext bedeutet dass, das sämtliche Firmenwebseiten und Portale und Soziale Medien nach Informationen eines potenziellen Opfers durchsucht und gesammelt werden. Ein Datenleck bei einer Arbeitsvermittlung oder Jobbörse wo evt. auch sämtliche Informationen zu potenziellen Opfern enthalten sind, kämme einem Online-Verbrecher da gerade recht.

 

so Schützen Sie sich vor Verschlüsselungstrojaner, wie Golden Eye oder Locky usw.

wir haben das Thema Cryptoware hier einmal für Sie aufebereitet und zeigen wie Sie sich mit ganz einfachen Mitteln vor so einem Angriff schützen können

Tags: Crypto / cryptoware / Golden Eye / trojaner
Erfahrungen & Bewertungen zu ITService Dortmund