Sammelklage-Verein wurde Opfer von E-Mail-Trojaner

Aktuell macht eine Malware in einer doc-Datei per Mail die Runde, die von vielen Antivirenprogrammen nicht erkannt wird. So bekamen vergangene Woche auch zahlreiche Klienten des österreichischen Sammelklage-Vereins Cobin Claims merkwürdige E-Mails, die im Namen des Vereins verschickt wurden. Anders als bei Spam-E-Mails sind diese als Antworten auf eine tatsächlich bestehende E-Mail-Kommunikation mit den Sammelklägern getarnt. Darunter befand sich auch ein futurezone.at-Leser, der uns auf die Problematik aufmerksam machte.

Er hatte sich an einer Sammelklage gegen die Österreichische Post beteiligt und von Cobin Claims zwei „merkwürdige Mails“ erhalten, die Word-Dateien beinhaltet hatten. Dabei handelt es sich um eine Abwandlung des bereits bekannten Trojaners Emotet, einen Makro-Virus. Dies bestätigte auch Oliver Jaindl von Cobin Claims. Die ersten gefälschten E-Mails hatten sich vergangen Dienstag verbreitet.

Datenschutzbehörde informiert

„Unsere Anti-Viren-Systeme haben zuerst nicht angeschlagen“, erklärte Jaindl. „Wir haben dann externe Sicherheitsspezialisten ins Boot geholt, die unsere Rechner sofort vollständig gesäubert haben.“ Man habe zudem alle Betroffenen informiert und die Datenschutzbehörde innerhalb der vom Gesetz vorgeschriebenen Frist von 72 Stunden über den Vorfall informiert. „Wichtig ist zu wissen, dass keine Daten abgeflossen sind. Unsere Datenbanken sind physisch wie logistisch vom E-Mail-System komplett getrennt“, so Jaindl.

Viele Anti-Viren-Programme erkennen die Emotet-Variante mitsamt der doc-Datei sowie die nachgeladene Malware nicht als Bedrohung. „Wir haben die Variante auch gleich an die internationale Spam-Überwachungsstelle sowie an Kaspersky gemeldet, die binnen 24 Stunden reagiert und die Variante in ihre Anti-Virus-Abwehr aufgenommen haben“, erklärte Jaindl. Weil der Trojaner dauernd mutiere, würden viele Anti-Viren-Hersteller nachhinken, so Jaindl.

E-Mail und Anhang sofort löschen

Klienten von Cobin Claims sollen die Anhänge der gefälschten E-Mails keinesfalls öffnen und die E-Mails am besten sofort löschen. Man habe zusätzlich zur Verständigung auch sofort eine Warnung auf der Website veröffentlicht. „Die einzige gültige Emailadresse in der Korrespondenz mit Cobin Claims ist info@cobinclaims.at. Alle Emails von anderen Absendern bitte umgehend und ungeöffnet löschen“, heißt es darin.

„Von der Datenschutzbehörde haben wir noch keine Rückmeldung erhalten. Realistisch betroffen sind zwischen 100 und 500 Personen, aber mit rund 10.000 Anspruchsstellern wäre der Kreis der potentiell Betroffenen natürlich sehr groß!“

Emotet-Variationen sind weit verbreitet

„Wir sind ein gemeinnütziger Verein aus der Mitte der Zivilgesellschaft, für uns ist es sehr schmerzlich, dass wir bei unserer straffen Kostenstruktur sehr viel Aufwand in die Lösung des Problems reinstecken mussten“, sagte Jaindl.

Emotet ist keineswegs neu, verbreitet sich allerdings rasch. Auch der deutsche heise Verlag war etwa bereits davon betroffen. Das US-CERT bezeichnet den Trojaner als die „aktuell wohl zerstörerischste Schadsoftware“, weil prinzipiell viele Schadprogramme nachgeladen werden, wenn man einmal in die Falle getappt ist. In der nächsten Eskalationsstufe sehen sich die Angreifer oft sogar manuell im betroffenen Netz um und legen die IT-Infrastruktur des Unternehmens lahm. Im Fall von Cobin Claims konnte der Trojaner rechtzeitig identifiziert und entfernt werden.