Woche 45: Von Phishing E-Mails mit Schadsoftware und anderen dubiosen E-Mails ans NCSC

15.11.2022 - Die Anzahl der beim NCSC eingegangenen Meldungen ist gegenüber der Vorwoche stark gestiegen. Grund waren wiederum die gefälschten Drohmails im Namen der Polizei. Ein an das NCSC gerichtetes E-Mail in kyrillischer Schrift, versuchte zudem die Malware Xloader/Formbook zu verteilen.

Bösartige Produktanfrage und Hinweise auf nicht zugestellte E-Mails – Die täglichen Angriffsversuche gegen das NCSC

Auch das NCSC bleibt nicht von Phishing-E-Mail oder E-Mails mit Schadsoftware verschont. Beliebt sind vor allem Phishing-Versuche, die behaupten, dass dringende Nachrichten nicht zugestellt werden konnten und man das entsprechende E-Mail-Passwort angeben soll.

Beispiel einer Phishing-E-Mail, die an das NCSC gerichtet ist.
Beispiel einer Phishing-E-Mail, die an das NCSC gerichtet ist.

Eine aussergewöhnliche E-Mail erreichte das NCSC in der letzten Woche. In kyrillischen Schrift und dem Betreff «Neue Bestellung» wurde Interesse an den «Produkten» des NCSC vorgetäuscht. Dann folgte der Hinweis, dass nähere Angaben zu den gewünschten Artikeln im Anhang aufgeführt seien. Eine entsprechenden ZIP-Datei war der E-Mail angefügt. Wer darin Dokumente suchte, suchte allerdings vergebens. Im Anhang befand sich die weit verbreitete und bekannte Schadsoftware Formbook aka Xloader.

An das NCSC gerichtetes E-Mail in kyrillischer Schrift und mit der Schadsoftware Xloader aka Formbook.
An das NCSC gerichtetes E-Mail in kyrillischer Schrift und mit der Schadsoftware Xloader aka Formbook.

Diese Schadsoftware befindet sich auch auf der monatlichen NCSC/GovCERT.ch Schadsoftware-Rangliste regelmässig auf den vordersten Plätzen.

Top 10 der im Oktober vom NCSC/GovCERT.ch analysierten Malware-Samples. Die Schadsoftware Xloader/Formbook befindet sich auf dem zweiten Platz
Top 10 der im Oktober vom NCSC/GovCERT.ch analysierten Malware-Samples. Die Schadsoftware Xloader/Formbook befindet sich auf dem zweiten Platz

FormBook und sein neuerer Nachfolger Xloader sind sogenannte «Info Stealer», die als Malware-as-a-Service (MaaS) verbreitet werden. Angreifer können so die Attacke im Darknet «bestellen», ohne dass sie über IT-Kenntnisse verfügen müssen. Das Repertoire von Xloader umfasst unter anderem das «Stehlen von Anmeldedaten aus Webbrowsern und Banking-Apps» sowie das Erfassen von Tastenanschlägen und Bildschirmfotos. Zusätzlich können auch Daten heruntergeladen und ausgeführt werden. Wie meisten war auch der aktuelle Angriff nicht gezielt. Dies zeigt nur schon der Umstand, dass das NCSC keine «Produkte» verkauft und keine klassische Firma ist. Die Angreifer haben im Vorfeld nicht recherchiert, sondern die Anfrage auf gut Glück versendet. Die E-Mail dürfte gleichzeitig auch noch an eine Vielzahl anderer Empfänger gegangen sein.

  • Vorsicht bei E-Mails, die eine Aktion von Ihnen verlangen Seien Sie vorsichtig, wenn Sie dazu gedrängt werden, eine Aktion auszuführen. Dabei kann es sich beispielsweise um das Anklicken eines Links oder das Öffnen eines Anhangs handeln.
  • Geben Sie niemals persönliche Daten auf einem Formular ein, das Sie über einen Link in einer E-Mail geöffnet haben.
  • Installieren Sie wenn immer möglich eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird.
  • Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können.
  • Schadsoftware wird vielfach über Office Dokumente verteilt. In den meisten Fällen wird die Makro-Funktion ausgenutzt. Geben Sie nie die Erlaubnis, die Makrofunktion zu aktivieren.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 15.11.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_45.html