Cyberkriminelle verbreiten im Namen von AGOV Schadsoftware für macOS

28.06.2024 - Am Abend des 27. Juni 2024 haben Cyberkriminelle eine grosse «Malspam»-Kampagne gegen Einwohnerinnen und Einwohner in der Deutschschweiz gestartet. Über eine E-Mail mit vermeintlichem Absender AGOV wird versucht, die Geräte von Nutzerinnen und Nutzern von macOS mit einer Schadsoftware (sogenannter «Malware») namens «Poseidon Stealer» zu infizieren.

Melden Sie Schwachstellen

Aktuell versenden Cyberkriminelle E-Mails, die vermeintlich von AGOV stammen. AGOV ist das Behörden-Login der Schweiz, welches bei Behörden von Bund, Kantonen und Gemeinden eingesetzt werden kann, um beispielsweise die Steuererklärung elektronisch auszufüllen. Derzeit erreichen das BACS viele Meldungen zu solch missbräuchlichen E-Mails. In der E-Mail werden die Angeschriebenen aufgefordert, ein Software-Paket herunterzuladen. Es wird unter anderem behauptet, dass die AGOV access App als Desktop-Anwendung verfügbar sei. Das ist falsch. Die AGOV access App ist nur für Smartphones verfügbar.

Diese missbräuchlichen E-Mails enthalten einen Link zur Microsoft’s Suchmaschine «Bing», welche das Opfer auf eine weitere Webseite weiterleitet. Auf dieser Website wird das Opfer wiederum auf eine andere Website weitergeleitet, auf welcher ein Software-Paket für Apple’s macOS angeboten wird. Lädt das Opfer die Datei herunter und führt es diese aus, wird der Computer mit einer Schadsoftware namens «Poseidon Stealer» infiziert. Ist diese Schadsoftware einmal auf dem Gerät installiert, stiehlt sie diverse Informationen vom Computer des Opfers und sendet diese an die Cyberkriminellen.

Screenshot des Malware-E-Mails im Namen von AGOV
Screenshot des Malware-E-Mails im Namen von AGOV

Zusammen mit den Partnern hat das BACS entsprechende Abwehrmassnahmen eingeleitet, um die Bedrohung zu mitigieren, also zu verkleinern.

Das BACS empfiehlt, diese missbräuchliche E-Mail umgehend zu löschen. Anwenderinnen und Anwendern, welche die Malware heruntergeladen und installiert haben, empfiehlt das BACS, das betroffene Gerät umgehend neu aufzusetzen.

Für Cybersicherheitsexpertinnen und -experten hat das BACS zusätzliche technische Informationen und Indikatoren zusammengestellt («Indicators of compromise» - IOCs) welche auf der Github Seite des GovCERT abrufbar sind:

https://github.com/govcert-ch/CTI/tree/main/20240627_macOS_PoseidonStealer

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/poseidon.html