Aktuelles

Neue Schadsoftware-Welle liefert QuakBot aus

20.05.2020
Update vom 27.05.2020: In dem vorherigen Artikel war ein Bezug zu Emotet hergestellt worden, dieser ist nach Informationen des BSI nicht gegeben.
Bei uns mehren sich Hinweise darauf, dass eine neue Schadsoftware-Welle gerade beginnt. Wie schon von anderen Kampagnen aus der Vergangenheit bekannt geworden, werden auch hier E-Mails als Antworten in bestehender Kommunikation versendet. Die versendeten E-Mails enthalten einen kurzen Text und einen Link zum Download einer ZIP-Datei, getarnt als Darlehensvertrag:

Beispiel für diese Art von Mails:

Es ist dieser Bericht, den Sie gebraucht haben. Wenn ich etwas verpasst habe, müssen Sie sich bei mir melden. Es ist unten angehängt. Hoffentlich von meiner Seite ist alles gut.

Sie müssen sich diese Berechnungen ansehen und überprüfen, ob sie korrekt sind. Benachrichtigen Sie mich über etwaige Inkonsistenzen.

Hier ist die Datei. Stellen Sie sicher, dass Sie es durchsehen. Bitte lassen Sie mich wissen, wie ist Ihre Meinung dazu.
Nach uns vorliegenden Hinweisen enthalten die ZIP-Dateien jeweils ein Skript, das bei Ausführung die Schadsoftware QuakBot herunterlädt. Die uns übermittelten Links waren jedoch alle schon nicht mehr erreichbar, so dass eine eigene Analyse leider nicht möglich war.

Wenn Sie als Firma oder Behörde eine solche Mail empfangen und geöffnet haben, sollten Sie sich umgehend mit Ihrem IT-Dienstleister in Verbindung setzen. Setzen Sie auch ggf. den Absender der E-Mails darüber in Kenntnis, dass sein IT-System kompromittiert sein könnte.

Info zu Emotet und QuakBot / Qakbot / Qbot
Kurzer Bericht auf ZIX.com
Emotet IoCs
Cryptolaemus Emotet IoC Paste

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/46

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Angeblicher Lieferschein per E-Mail von DHL - gefährliche Makros!

13.05.2020
Aktuell werden E-Mails versendet, die angeblich von DHL kommen. Im Anhang der Mail befindet sich eine Excel-Tabelle mit einem Makro. Wird dieses aktiviert, installiert sich eine Schadsoftware auf Ihrem Rechner. Löschen Sie die E-Mail und öffnen Sie nicht den Anhang der E-Mail.

Beispiel für diese Art von Mails:

[DHL: 5102742018]: RE: Lieferschein
Sehr geehrter Kunde, Ihr Paket ist kürzlich in unserem Zentrum angekommen, aber wir können die Lieferadresse nicht finden. Hier finden Sie das registrierte Kontaktformular, den Lieferschein und die Zahlungsdetails der Fluggesellschaft. Geben Sie die uns gegebene Kontaktnummer ein und senden Sie sie uns. Wir freuen uns von Ihnen zu hören.


Grafik nach dem Öffnen der Excel-Tabelle:


Achtung: Erst das Aktivieren der aktiven Inhalte (Makros) führt zur Infektion! Sie sollten die Excel-Tabelle trotzdem NICHT öffnen! Das Makro ist in einem versteckten Tabellenblatt verborgen.

Die Schadsoftware wird u.a. von den folgenden Adressen runtergeladen:
hXXp://putin-malwrhunterteams.com/scan.txt
hXXp://paste.ee/r/e49u0
hXXp://paste.ee/r/dlOMz

Danach erfolgt der Versuch einer Kontaktaufnahme mit der IP-Adresse 185.140.54.48 auf Port 7707. Das System ist allerdings momentan nicht erreichbar, so dass weitere Analysen zur Zeit nicht durchgeführt werden können.

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/45

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Derzeit erhöhtes Aufkommen von Erpressungsschreiben per Kontaktformular

12.05.2020
Zur Zeit wird vermehrt über Kontaktformulare auf Firmenwebseiten folgendes Erpresserschreiben versandt:

Betreff: PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS!
Stichworte: website, hacked, extracted, databases, leaked, reputation, bitcoin


Der Wortlaut der Nachricht ist bis auf wenige Details (Betroffene Webseite, Absender und Bitcoin-Adresse) immer identisch. Es werden im Zusammenhang mit dieser E-Mail keine Beweise für eine tatsächliche Kompromittierung der Seite genannt und in bestehenden Fällen deutet bisher auch nichts darauf hin. Daher gehen wir derzeit davon aus, dass es sich hierbei lediglich um einen versuchten Erpressungsversuch handelt, aber in diesem Zusammenhang keine Daten abgeflossen sind.

Unabhängig davon, ob hier eine technische Kompromittierung vorliegt, sollten Sie natürlich niemals einer solchen Forderung durch eine Zahlung nachkommen!

Sofern im Zusammenhang mit diesem Schreiben keine weiteren Hinweise auf ein Abfluss von Daten bei Ihnen vorliegen, können Sie diese Nachricht problemlos löschen, oder natürlich wie alle anderen Betrugsmails auch, gerne an unsere Trojaner E-Mail (trojaner@polizeilabor.de) weiterleiten.
Wenn Sie Anzeige erstatten möchten, können Sie das bei Ihrer örtlichen Dienststelle, oder Online unter: Onlinewache Polizei Niedersachsen tun.

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/44

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Vorsicht: Angebliche Mails der NBank - corona-zuschuss@nbank.de.com

04.05.2020
Seit heute Morgen werden im Namen der NBank E-Mails versendet, in den aufgefordert wird eine Rückzahlung von zu viel erhaltenen Fördergeldern vorzunehmen. Die Absenderadresse der Mails lautet in Niedersachsen corona-zuschuss@nbank.de.com.

Auch in anderen Bundesländern werden derartige Mails versendet, u.a. mit diesen Absendern:
corona-zuschuss@nrw.de.com
corona-zuschuss@ib-sachsen-anhalt.de.com
corona-zuschuss@ifbhh.de.com
corona-zuschuss@l-bank.de.com
corona-zuschuss@stmwi-bayern.de.com
corona-zuschuss@aufbaubank.de.com
corona-zuschuss@hessen.de.com
corona-zuschuss@rlp.de.com

Es wird eine Drohkulisse hinsichtlich eines Straftatbestandes aufgebaut und zur Kontaktaufnahme aufgefordert.

Aufbau der Mails (Beispiel):


Auch wenn Rückzahlungen ggf. erforderlich sind: Diese Mails stammen nicht von den vorgegebenen Stellen! Nehmen Sie keinen Kontakt mit den Tätern unter der o.g. E-Mailadresse auf und füllen Sie nicht die angehängten PDF-Formulare aus!

Anlage: PDF-Anhang der Mails mit Drohkulisse:


Link zur offiziellen Warnmeldung der NBank: https://www.nbank.de/Service/News/Phishing-Mails-im-Umlauf.jsp

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/43

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Betrüger nutzen falsche COVID-19 Soforthilfeanträge um an Ihre Unternehmensdaten zu kommen

30.03.2020
Aktuell konnte durch unsere Kolleginnen und Kollegen aus dem Landeskriminalamt Baden-Württemberg festgestellt werden, dass derzeit vermehrt versucht wird, mittels angeblicher Soforthilfeanträge im Zusammenhang mit COVID-19 an Daten von Unternehmen zu kommen.

Hierfür werden Firmen auf gefälschte Internetseiten gelockt, um dort die notwendigen Unternehmensdaten einzugeben. Die Betrugsseiten versprechen dort häufig eine besonders schnelle Auszahlung oder hohe Summen die ohne Rückzahlung genehmigt werden.
Teilweise wurden auch Unternehmen gezielt telefonisch kontaktiert und explizit auf die betrügerischen Seiten verwiesen. Die Betrüger geben sich hierbei als Angehörige der offiziellen Stelle zur Abwicklung der Soforthilfe aus.

Das Vortäuschen eine offizielle Stelle zu sein, um so an sensible Daten zu kommen, welche für weitere Straftaten genutzt werden können, ist eine häufig genutzte Strategie. Wie es diese Meldung zeigt, machen die Betrüger leider auch nicht vor der aktuellen Lage halt.

Daher ist es auch in solch angespannten Zeiten wichtig folgende Ratschläge zu beherzigen:

  • Falls Sie Soforthilfe beantragen möchten, wenden Sie sich hierfür ausschließlich an die offiziellen Stellen. In diesem Fall sind dass die Ministerien und Landesförderbanken mit Unterstützung der Industrie- und Handelskammern.
  • Diese Stellen verschicken unaufgefordert keine Anträge.
  • Wenn Sie unaufgefordert von einer offiziellen Stelle kontaktiert werden, geben Sie keine sensiblen Daten preis. Um die Authentizität des Anrufers zu überprüfen, notieren Sie sich den Namen und rufen zurück. Wichtig hierfür ist, dass Sie sich nicht auf die angezeigte Anrufernummer verlassen, sondern die Erreichbarkeiten über einen alternativen Weg recherchieren.
  • Im Zweifel fragen Sie gerne bei uns oder der für Ihr Bundesland zuständigen Zentralen Ansprechstelle Cybercrime nach.
Weiterführende Links:
Warnmeldung des LKA Baden-Württemberg

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/42

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Zentrale Ansprechstelle Cybercrime für die Wirtschaft weiterhin erreichbar!

20.03.2020
Auch wenn alle Veranstaltungen mit Außenkontakt abgesagt wurden, stehen wir weiterhin telefonisch unter 0511 - 26 26 2 3804 oder gerne via E-Mail unter zac@lka.polizei.niedersachsen.de für Ihre Fragen und Probleme zur Verfügung.

Bleiben Sie gesund!

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/41

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Phantasie-Rechnung der United Hosting Deutschland für eine Domainregistrierung

28.02.2020
Leider denken sich Betrüger immer neue Maschen aus, um ahnungslosen Geschäftsleuten das Geld aus der Tasche zu ziehen. Immer wieder sind dabei Phantasie-Rechnungen ein Thema, die vorgeben für eine bestimmte Dienstleistung müsse eine Zahlung geleistet werden. Meistens werden diese Rechnungen per E-Mail versendet, sind sehr schwammig formuliert und geben nur wenige Details zum eigentlichen Rechnungsgegenstand preis. Bei dem aktuellen Fall der Domain-Registrierung von einer angeblichen Firma namens "United Hosting Deutschland" fehlt beispielsweise der eigentliche Domain-Name, der für eine Registrierung ja eigentlich grundlegend wäre.

Die Mails mit dem Betreff "Domainregistrierung für 2020 / 2021" sehen so aus:



Das angehängte PDF gibt dann Auskunft über die angeblich zu leistende Zahlung:



Ganz frech im Kleingedruckten dann die Auflösung:



Reagieren Sie nicht auf diese Rechnungen!

Weitere Tipps und Hinweis:
  • Rufen Sie sich ins Bewusstsein, bei welchem Internetanbieter/Provider Sie Ihre Webseite betreiben und zahlen Sie nur diesem Anbieter die Gebühren für eine Domainregistrierung. In der Regel passiert dies via Abbuchung und wird nicht jedes Jahr angefordert.
  • Prüfen Sie und Ihre Mitarbeiter/innen jede Rechnung auf Plausibilität.
  • Halten Sie im Zweifel Rückfrage beim Rechnungsersteller und zwar auf einem alternativen Kommunikationsweg. Recherchieren Sie dazu die Firma und Erreichbarkeit im Internet.

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/39

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Neue Anwendung spürt Emotet-Infektionen auf

05.02.2020
Emotet, Emotet, Emotet und es nimmt kein Ende. Ist man infiziert, sollte schnell gehandelt werden. Jedoch wissen die Opfer selten, dass Sie betroffen sind. Das sah wohl auch das Japan CERT so und hat nun selber eine Anwendung erstellt, die den Rechner überprüfen soll.

Wir haben uns die Anwendung angeschaut und möchten an dieser Stelle eine kurze Vorstellung machen.
EmoCheck kann unter folgendem Link runtergeladen werden. Hierbei ist zu beachten, dass man abhängig von seinem Betriebssystem die 32- oder 64-Bit Variante der Anwendung runterladen muss.
Ist die ausführbare Datei von EmoCheck runtergeladen, kann diese gleich ausgeführt werden. Hierfür doppelklicken Sie auf "emocheck_x64.exe" bzw. "emocheck_x86.exe".

Haben Sie den Windows SmartScreen aktiviert, erscheint zusätzlich ein Windows-Fenster.
Klicken Sie auf "Weitere Informationen" und anschließend drücken Sie den Button "Trotzdem ausführen".
Beispiel:

Es öffnet sich nun EmoCheck in einem neuen Fenster und zeigt Ihnen das Ergebnis der Suche.

Wie im Beispiel zu sehen ist, hat EmoCheck ein Prozess aufgespürt und zeigt Ihnen den Pfad zur infizierten Datei.

Zusätzlich hat die Anwendung das Ergebnis als eine Text-Datei (yyyymmddhhmmss_emocheck.txt) erstellt, diese finden Sie im selben Ordner, wo Sie EmoCheck ausgeführt haben.

Weiterführende Links:
Github Link zur Anwendung "EmoCheck"
Artikel von Heise

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/37

Klicken Sie hier und abonnieren Sie unseren Newsletter.


E-Mails zum Thema "Eintragung im Transparenzregister"

21.01.2020
Anfang 2020 ist ein überarbeitetes Geldwäschegesetz in Kraft getreten. Damit verbunden sind Meldeverpflichtungen, u.a. für das sog. Transparenzregister. Die IHK hat zu diesem Thema einen informativen Artikel verfasst:
https://www.hannover.ihk.de/rechtsteuern/recht8/themengebiete-recht/recht1/1x1desgewerberechts/geldwaesche-meldepflicht-fuer-das-transparenzregister.html

Vereinfacht gesagt hat jede Firma zu prüfen, ob ein solcher Eintrag erforderlich ist (abhängig beispielsweise von der Gesellschaftsform und eventuell schon bestehenden Einträgen im Handelsregister) und diesen ggf. vorzunehmen.

Die Eintragung erfolgt in der Regel über die offizielle Webseite des Transparenzregisters unter:
https://www.transparenzregister.de.

Für die Eintragung entstehen keine Kosten. Es wird allerdings von der beauftragten Stelle (Bundesanzeiger Verlag GmbH) eine Jahresgebühr in Höhe von 2,50 Euro erhoben.

Den geschilderten Umstand mit der damit verbundenen Rechtsunsicherheit bzw. Unkenntnis von Firmenverantwortlichen machen sich nun bestimmte Anbieter zu Nutze und bieten als Serviceleistung die gebührenpflichtige Eintragung im Transparenzregister an.
Leider oft verbunden mit E-Mails in denen auf den fehlenden Eintrag hingewiesen wird und auch auf die drohenden Bußgelder. Damit soll erreicht werden, dass Firmen die Dienstleistung des Drittanbieters in Anspruch nehmen und dafür in der Folge weitaus höhere Gebühren bezahlen. In einem vorliegenden Fall sind das beispielsweise 49,00 Euro!.

Zusammenfassung:
Prüfen Sie die Notwendigkeit eines Eintrags im Transparenzregister und nehmen Sie ggf. Eintragungen über die offizielle Stelle vor. Lassen Sie sich nicht von Anbietern durch Drohungen zu einer weitaus teureren Eintragung über deren Seiten bringen.

Weitere Fragen und Antworten zum Transparenzregister unter der offiziellen Webseite:
https://www.transparenzregister.de/treg/de/hilfe

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/36

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Emotet meldet sich wieder

20.12.2019
Der Trojaner Emotet wird wieder massiv verbreitet. Dabei ist der Verbreitungs- und Infektionsweg wie in den vergangenen Monaten über E-Mail.
Wir beobachten die Verbreitung als E-Mail Anhang sowohl in Form von verschlüsselten ZIP-Dateien (wo das Passwort im E-Mail Text steht) mit eingepackten infizierten Word-Dokumenten als auch die Verbreitung der infizierten Word-Dokumente direkt.

Die E-Mail Texte werden an frühere Nachrichten angepasst oder sind sogar neue Nachrichten mit z.B. Weihnachtsgrüßen oder Einladungen.

Beispiel:



Wer die Makros in dem Word-Dokument aktiviert, bekommt Emotet pünktlich zu Weihnachten.
Es sind mehrere private und öffentliche Einrichtungen schon betroffen; manche E-Mails werden mittlerweile auch im Namen von Bundesbehörden versendet.

Benachrichtigen Sie bitte Ihre Mitarbeiter, dass derartige Mails momentan im Umlauf sind und sensibilisieren Sie für die Gefahren durch angehängte Dokumente.

Eine aktuelle Liste der Emotet IoCs bietet die Cryptolaemus Gruppe:
Cryptolaemus Pastedump

Mehr Information zu dieser Welle und Emotet allgemein stellt das BSI zur Verfügung:
Schadhafte SPAM-Mails im Namen mehrerer Bundesbehörden

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/35

Klicken Sie hier und abonnieren Sie unseren Newsletter.