Technik

Personalchefs aufgepasst! Erpresser-Trojaner in Bewerbungs-Mails

Erpresser-Trojaner Imago.jpg

"Cerber" ist bisher vielleicht der raffinierteste Erpresser-Trojaner.

(Foto: imago/Thomas Eisenhuth)

Der Erpresser-Trojaner "Cerber" hat sich auf Unternehmen spezialisiert. Der Schädling steckt in Anhängen von täuschend echt aussehenden Bewerbungs-E-Mails und ist brandgefährlich.

Antivirus-Software-Hersteller Kaspersky warnt vor dem Erpresser-Trojaner "Cerber", der aktuell im deutschsprachigen Raum sein Unwesen treibt. Seit Anfang Mai haben die Sicherheitsexperten zwei große Angriffswellen der Ransomware festgestellt. Neben den USA und Großbritannien ist Deutschland das am häufigsten von "Cerber" attackierte Land.

Erpresser reagieren auf Stellenanzeigen

Der laut "BleepingComputer" russische Schädling wird unter anderem über Bewerbungs-E-Mails verbreitet, die täuschend echt aussehen. Sie sind in gutem Deutsch ohne Rechtschreibfehler geschrieben und die Absender wirken glaubwürdig. Die "Westfälischen Nachrichten" berichten, die Angreifer nutzten unter anderem T-Online-Adressen. Im Verbreitungsgebiet der Zeitung wurden bereits mindestens zwei Unternehmen Opfer der Ransomware. Die Polizei gehe davon aus, dass weit mehr Firmen präparierte E-Mails erhalten haben. Die Betriebe im Kreis Borken hatten kurz zuvor Stellenanzeigen veröffentlicht. Die Bewerbungs-E-Mails, die die Angreifer den Firmen daraufhin zuschickten, endeten mit dem Hinweis auf Bewerbungsunterlagen im Anhang.

Opfer haben nur eine Chance

Cerber_Mail.JPG

Der Text einer der von den Angreifern versendeten E-Mails.

(Foto: Kaspersky)

In der ZIP-Datei befindet sich unter anderem ein Word-Dokument. Wird sie mit aktivierten Makros geöffnet, verschlüsselt sie auf dem Rechner Daten und versieht sie mit der Endung ".cerber". Zuvor checkt der Trojaner aber, ob er sich nicht in einer ehemaligen Sowjetrepublik befindet. Tut er das, wird er nicht aktiv und löscht sich selbst. Ansonsten legt er los, zeigt falsche Alarme an und fordert zum Neustart auf. Laut "BleepingComputer" verhält sich der Trojaner dann sehr seltsam und startet zunächst in den abgesicherten Modus mit Netzwerktreibern. In diesem Moment hätten Opfer noch die Chance, den Angriff abzuwehren, schreibt der Remscheider "Computer-Service Robin Pfeifer". Meldet sich der Nutzer aber an, gibt es einen weiteren Neustart in den normalen Modus und "Cerber" beginnt mit der Verschlüsselung.

Raffiniert und wandlungsfähig

Im Anschluss tritt der Schädling in Kontakt zu seinen Opfern und zeigt ein Fenster mit Anweisungen an, wie über den Tor-Browser das geforderte Lösegeld bezahlt werden kann. Laut Kaspersky verlangen die Erpresser umgerechnet rund 440 Euro für das Entschlüsselungs-Programm "Cerber Decryptor". Wird nicht bezahlt, steigt der Preis alle sieben Tage. "Zum Trost" für die Opfer steht am Ende des Hinweises der lateinische Spruch "Quod me non necat me fortiorem facit" ("Was mich nicht umbringt, macht mich stärker"). Zusätzlich spielt "Cerber" eine Audio-Botschaft mit dem Hinweis auf die Verschlüsselung der Dateien ab.

Die Bekämpfung von "Cerber" ist wahrscheinlich sehr schwer. Die Entwickler des Schädlings hätten die Ransomware so modifiziert, dass sie sich alle 15 Sekunden verändert, schreibt "Gulli.com". Die Malware sei daher nur schwer zu erkennen und könne so die Sicherheitssysteme vieler Computer umgehen.

Quelle: ntv.de