Woche 7: Angebliche Bestellbestätigung liefert Schadsoftware und neue Varianten bei Fake Extorsion-Mails

22.02.2022 - Das NCSC verzeichnete in der letzten Woche einen anhaltend hohen Meldeeingang. Mittels gefälschter Bestellbenachrichtigungen versuchen Hacker, eine Fernzugriffs-Schadsoftware zu verteilen. Zudem verbreiten sich die gefälschten Erpresserschreiben von angeblichen Strafverfolgungsbehörden verstärkt und sind neu auch in Deutsch verfasst.

Gefälschte Bestellbestätigungen enthalten Fernzugriffs-Schadsoftware

Das Einkaufsverhalten der Bevölkerung hat sich seit 2019 verändert und in Richtung Online-Shopping verlagert. Diese Entwicklung nutzen Betrüger aus, indem sie falsche Paket-Benachrichtigungen versenden. Zumeist wird mit den versendeten E-Mails Kreditkarten-Phishing betrieben oder der Empfänger wird aufgefordert, PaySafe-Karten zu kaufen und die Codes zu übermitteln.

Dem NCSC wurde vergangene Woche eine verdächtige E-Mail übermittelt, bei deren Analyse eine neue Vorgehensweise erkennbar wurde: Die E-Mail enthielt die Benachrichtigung, eine Bestellung sei eingegangen und diese würde nun bearbeitet. Absichtlich wurden von den Betrügern keine Hinweise auf irgendeinen Verkäufer oder Kaufgegenstände eingefügt. Alleine eine nichtssagende Bestellnummer wurde aufgeführt.

Allgemein gehaltene E-Mail mit der HTML-Beilage, welche zur Schadsoftware führt.
Allgemein gehaltene E-Mail mit der HTML-Beilage, welche zur Schadsoftware führt.

Als Beilage ist eine Datei im HTML-Format mit einem kryptischen Namen aufgeführt. Beim Ausführen dieser Datei muss das Herunterladen einer weiteren Datei im ISO-Format erlaubt werden. Spätestens hier sollten alle Alarmglocken läuten.

ISO-Formate werden von Computern wie ausführbare CDs oder DVDs behandelt und beinhalten häufig Installationsmedien zum Beispiel für Spiele oder Büroprogramme.

Beim Öffnen der HTML-Datei kommt die Information zum Download einer ISO-Datei.
Beim Öffnen der HTML-Datei kommt die Information zum Download einer ISO-Datei.

Im vorliegenden Fall beinhaltete das Programm eine Schadsoftware mit dem Namen «AsyncRAT». Die Abkürzung RAT steht dabei für «Remote Access Tool» und führt dazu, dass ein Angreifer von aussen auf den infizierten Computer zugreifen kann.

Die Analyse der ISO-Datei mit einem geeigneten Tool weist auf die Schadsoftware AsyncRAT hin.
Die Analyse der ISO-Datei mit einem geeigneten Tool weist auf die Schadsoftware AsyncRAT hin.

Durch einen Fernzugriff auf den Computer erhält ein Angreifer die Möglichkeit, auf dem Computer gespeicherte Daten zu stehlen und auch andere Schadsoftware nachzuladen und zu installieren, beispielsweise, um die Eingabe von Passwörtern auslesen zu können.

  • Misstrauen Sie allen E-Mail-Benachrichtigungen, welche Sie unaufgefordert erhalten;
  • Seien Sie besonders misstrauisch, wenn Sie eine Datei öffnen oder herunterladen sollen;
  • Erlauben Sie Ihrem Computer in keinem Fall, auf diese Weise erhaltene Dateien auszuführen;
  • Melden Sie solche Cybervorfälle dem NCSC und senden Sie uns falls möglich die betreffende E-Mail zu.
    NCSC-Meldeformular

Fake Extorsion im Namen von verschiedenen Polizeibehörden werden nun auch auf Deutsch versendet

In den letzten Wochen fanden sich in den E-Mail-Eingängen und Spam-Ordnern von Schweizer Bürgerinnen und Bürgern zu tausenden gefälschte und in Französisch verfasste Erpresserschreiben (Fake Extortion) im Namen von fast einem Dutzend unterschiedlicher Strafverfolgungsbehörden. In Frankreich ist diese Betrugsform bereits seit Jahren bekannt. Ende letzten Jahres rückte die Romandie in den Fokus der Betrüger und nun tauchen auch vermehrt E-Mails von diesem Typ im Tessin (mit italienischen Behörden-Logos) und in der Deutschschweiz (mit deutschen Behörden-Logos) auf.

Gefälschte Erpresserschrieben in verschiedenen Sprachen, hier auf Französisch, Italienisch und Deutsch.
Gefälschte Erpresserschrieben in verschiedenen Sprachen, hier auf Französisch, Italienisch und Deutsch.

In den E-Mails werden drastische Vorwürfe im Namen von wahllos zusammengewürfelten Strafverfolgungsbehörden gegen die Empfänger gerichtet. Ziel ist es, die Empfänger zu einer Antwort an die im Schreiben genannte E-Mail-Adresse zu bringen. Wenn sich jemand bei den Betrügern meldet, versprechen diese, gegen Zahlung einer hohen vierstelligen Geldsumme die angeblichen «Vorwürfe» fallen zu lassen. Für Personen, welche bezahlen, ist der Spuk aber nicht vorbei. Die Betrüger kommen in diesen Fällen immer wieder mit neuen Geldforderungen, bis das Opfer schliesslich den Betrug erkennt und nicht mehr zahlt. Der entstandene Schaden kann sehr gross werden.

Da die von den Betrügern verwendeten E-Mail-Adressen für die Kommunikation mit den Opfern und dem massenhaften Versand solcher Nachrichten zentral sind, meldet das NCSC die von den Angreifern verwendeten E-Mail-Adressen an die entsprechenden E-Mail-Provider – Aktuell sind es zumeist E-Mail-Konten von Studentinnen und Studenten verschiedener Universitäten. In einigen Fällen konnte durch das rasche Eingreifen des NCSC der weitere Versand solcher E-Mails gestoppt und so potentieller Schaden abgewendet werden.

  • Lassen Sie sich nicht unter Druck setzen und reagieren Sie nicht auf solche Drohungen;
  • Ignorieren Sie solche Nachrichten und markieren Sie diese als Spam.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 22.02.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_7.html