Schadsoftware: Vorsicht ist geboten - unabhängig vom Betriebssystem

Die Tendenz spezifische Systeme anzugreifen, um eine darauf zugeschnittene Schadsoftware zu platzieren ist nicht neu. So wurde beispielsweise bei den Angriffen gegen Bezahlsysteme vor einigen Monaten beobachtet, dass Schadsoftware den Computer auf das Vorhandensein  bestimmter Offline Zahlungssysteme untersuchte. War das entsprechende Programm auf dem Computer vorhanden, wurde anschliessend ein darauf  zugeschnittener Schadcode gesendet  (siehe MELANI Newsletter vom 25.7.2016 Offline Zahlungs-Software im Visier von Hackern - Schweizer Unternehmen betroffen). Die Tendenz gezielter Schadsoftware hat sich in den letzten Wochen bestätigt mit einem grösser werdenden Interesse der Cyber-Kriminellen an Benutzern des Betriebssystems MacOS. So wurden in den letzten Wochen verschiedene E-Mail Wellen beobachtet, mit welchen versucht wurde Schadsoftware im Anhang spezifisch für das vom Opfer verwendete Betriebssystem zu verbreiten. Solche E-Mails geben normalerweise vor, von bekannten Firmen zu stammen, was mittlerweile ein bekannter Modus Operandi ist (Siehe MELANI Newsletter: Zunehmender Missbrauch der Namen von Bundesstellen und Firmen) . Die letzten beobachteten Versionen enthielten einen Anhang in Form einer ZIP-Datei, welcher eine detaillierte Rechnung einer angeblichen Bestellung hätte enthalten sollen. Einmal geöffnet, versuchte das Schadprogramm aber den Bankentrojaner Retefe zu installieren. Retefe ist ein in der Schweiz gut bekanntes Schadprogramm, das aber bislang von den Angreifern nur gegen das Windows Betriebssystem eingesetzt wurde.

Um nun die E-Mails gezielt zu versenden und das Betriebssystem eines bestimmten Opfers zu eruieren, versuchen die Kriminellen in einem ersten Schritt ein unverdächtiges E-Mail zu senden, das diese Information automatisch an den Angreifer sendet. Auch dieser Typ E-Mail kommt angeblich von einer bekannten Firma und gibt vor, unter verschiedenen Vorwänden eine Kontaktaufnahme machen zu wollen. Das E-Mail enthält einen kurzen Text oder in anderen Fällen nur die Kontaktdaten der vorgegaukelten Firma.  

Die E-Mail enthält in Wirklichkeit aber ein kleines für den Mail-Empfänger  fast unsichtbares Bild (1x1 Pixel). Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail Konfiguration auch automatisch geschehen kann), wird eine Verbindung mit dem Server des Angreifers aufgebaut, auf welchem das Bild abgespeichert ist, und automatisch verschiedenste Informationen der Computerkonfiguration, unter anderem auch Informationen zum verwendeten Betriebssystem (generell der User Agent),  übermittelt. Die Kriminellen erhalten so die Möglichkeit, die E-Mail-Adresse mit der Computerkonfiguration in Verbindung zu bringen. In einem zweiten Schritt senden sie ein E-Mail , welches auf das entsprechende Betriebssystem zugeschnitten ist.

MELANI erinnert deshalb daran, dass sich folgende Sicherheitsmassnahmen an alle Computernutzenden richten - unabhängig davon, welches Betriebssystems diese benutzen:

• Stellen Sie sicher, dass Ihr E-Mail-Programm oder -Dienst das automatische Herunterladen von Bildern oder anderen Dateien, welche in einer E-Mail vorhanden sind, blockt. Oft ist dieser Schutz schon voreingestellt.
• Laden Sie keine Bilder in einer E-Mail Nachricht herunter, wenn Sie nicht vollständig sicher sind, woher das Bild stammt.
• Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern Vorsicht walten lassen. Besonders vertrauenswürdige Firmen werden gerne als gefälschte Absenderadressen missbraucht.
• Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
• In seltenen Fällen kann es vorkommen, dass das Opfer zufälligerweise tatsächlich eine E-Mail von der Firma erwartet. Aber auch in diesen Fällen gibt es  zahlreiche Hinweise, mit welchen man eine betrügerische E-Mail von einer echten E-Mail unterscheiden kann (*). Auch hier gilt: Nehmen Sie sich Zeit, die Plausibilität zu überprüfen. 

(*) MELANI empfiehlt für E-Mails stets digitale Signaturen zu nutzen (S/MIME oder PGP).

Um eine Infektion mit Schadsoftware zu verhindern, empfiehlt MELANI zudem folgende Massnahmen:

• Stellen Sie sicher, dass potenziell schädliche E-Mail Anhänge bereits auf Ihrem E-Mail-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche E-Mail Anhänge verwenden unter anderem folgende Datei-Endungen:
  
  .js (JavaScript)
  .jar (Java)
  .bat (Batch file)
  .exe (Windows executable)
  .cpl (Control Panel)
  .scr (Screensaver)
  .com (COM file)
  .pif (Program Information File)
  .vbs (Visual Basic Script)
  .ps1 (Windows PowerShell)
  .wsf (Windows Script File)
  .docm (Microsoft Word mit Makros)
  .xlsm (Microsoft Excel mit Makros)
  .pptm (Microsoft PowerPoint mit Makros)
  
  Für das MacOS System:
  .app (Application macOS)
  .pkg (Package Files)
  .dmg (Disk Images)
  .sh (Shell Scripts)
  .py (Python Scripts)
  .pl (Perl Scripts)                 
  
  Diese Dateitypen können auch andere Datei-Endungen haben. Es ist deshalb wichtig, dass die Filterprogramme, nicht nur auf Basis der Endung des Dateinamens, sondern auch aufgrund des Inhaltes der Dateien filtern.

• Versichern Sie sich, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie beispielsweise ZIP, RAR oder aber auch in geschützten Archiv-Dateien (z. B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
• Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z. B. Word, Excel oder PowerPoint Anhänge mit Makros).