Heute im Posteingang eine unscheinbare E-Mail gehabt. Hinweis: Bitte nicht den Anhang öffnen und schon gar nicht den Inhalt aus der nachgeladenen ZIP-Datei ausführen!
Die E-Mail von „S. Hartmann aus Bad Gandersheim“
Der Betreff „Steuerbescheid – N:955981“.
Der Absender: „S. Hartmann“.
Auffällig die Absenderadresse: „prodaja@electronic.ba“.
Der Inhalt der E-Mail:
beigefügt sende ich Ihnen den Einkommensteuerbescheid für 2021. Ich gehe davon aus, dass Sie die Einkommensteuererklärung 2021 selbst erstellt haben.
In der Vollmachtsdatenbank habe ich die uns erteilte Zustellungsvollmacht gelöscht, sodass Sie den nächsten Bescheid direkt erhalten werden.
Mit freundlichen Grüßen
S. Hartmann
Steuerberaterin
Bismarckstr. 26
37581 Bad Gandersheim
Tel.: 05382 / 951219
Fax: 05382 / 951469
...
Als Anhang eine HTML-Datei namens "Bescheid_0000078635.html", die ich mir etwas angeschaut habe.
Diese enthält lediglich eine Zeile JavaScript-Code mit einer Funktion atob(). Diese ist dafür da, eine verschlüsselte Zeichenkette aufzulösen, welche (nun) encodiert eine Website aufruft.
Natürlich habe ich probiert, was mich dort erwartet.
Es startet sofort ein Download einer kleinen ZIP-Datei. Diese enthält entpackt erneut eine kleine JavaScript-Datei, welche als Trojaner mit der Bezeichnung js/trojandownloader.agent.zdf erkannt wurde (Link zu ESET Virus-Radar mit weiteren Erklärungen).
Laut dem Virus-Radar versucht dieser Trojaner weitere Malware aus dem Internet zu laden. Was auch immer dann diese Schadsoftware auf dem Rechner macht.
Steuerberaterin Hartmann aus 37581 Bad Gandersheim
Nach einer ersten Recherchen gibt es diese Person bzw. das Unternehmen an der angegebenen Adresse in Bad Gandersheim nicht. Hier wurden sicherlich einfach beliebige Kontaktdaten verwendet. Das wird auch bei der Telefonnummer und der des FAX nicht anders sein.
Gehackte WordPress-Seite dient zur Verbreitung des Trojaners
Die griechische Website sferagroup . gr wurde augenscheinlich gehackt und nun zur Verbreitung des Trojaners missbraucht. Das passiert immer wieder, das fremde Website für wenige Tage, Wochen oder gar Monate Opfer solcher Angriffe werden. Die Betreiber merken davon in der Regel nichts.
Was tun, wenn man die Datei bereits geöffnet hatte?
An dieser Stelle ich gehe ich davon aus, dass Sie sich Schadsoftware in irgendeiner Form auf den Computer geholt haben. Was diese macht oder ob Sie deren Dasein überhaupt bemerken kann ich an dieser Stelle nicht beantworten.
Das kann vom Datendiebstal, über bloße Zerstörung oder die Nutzung Ihres Computers für Attacken auf andere Netzwerke alles sein.
Im ersten Schritt sollten Sie Ihr System überprüfen. Diese Anleitung zum Entfernen eines Browservirus kann Ihnen sicherlich hierbei helfen. Auch ein Online-Scan z. B. mit ESET ist hier ratsam.
Auch Firmennetzwerke können auf solch einen Weg sicherlich komprimiert werden. Hier sollten Sie umgehend fachliche Unterstützung zu Rate ziehen.
Bildnachweis Beitragsbild: @ AndreyPopov - Standardlizenz de.depositphotos.com
Hallo Daniel,
leider wurde ein Freund von mir auch Opfer von solch einem Angriff. Auch er hatte WordPress als CMS eingesetzt. Und bekanntlich hat WordPress – durch die vielen Plugings – immer wieder Sicherheitslücken.