Abstract Warning of a detected malware program
© Getty Images/iStockphoto / Olemedia/iStockphoto

Digital Life

Vorsicht: So wird man mit Windows 11 in die Falle gelockt

Vom Goldschatz von Saddam Hussein, über geheime Corona-Informationen, bis zum verschollenen Paket des Amazon Prime Day: Cyberkriminelle nutzen aktuelle Themen, um ihre Schadsoftware zu verbreiten.

Aktuell läuft eine Kampagne, die versucht Personen mit Windows 11 in die Falle zu locken, berichtet Bleeping Computer.

Word-Datei wurde angeblich mit Windows 11 Alpha erstellt

Per Mail wird ein Word-Dokument verschickt. Öffnet man das Dokument, sieht man ein Bild: „Dieses Dokument wurde mit Windows 11 Alpha erstellt. Um es sicher zu öffnen, führe die folgenden Schritte aus.“

Folgt man den danach beschriebenen Schritten, hebt man aber den Sicherheitsmechanismus von Word auf, der das Ausführen von potenziell schädlichem Makro-Code verhindert. Der in diesem Word-Dokument hinterlegte Code öffnet dann eine Hintertür, mit der die Cyberkriminellen beliebigen Schadcode auf dem System herunterladen und installieren können.

Das kann Spyware sein, um etwa Passwörter von Online-Banking abzugreifen oder Ransomware, die die Daten des Computers verschlüsselt und nur gegen Lösegeld wieder freigibt. Der Computer könnte auch mit einer Software Teil eines Bot-Netzwerks werden und zur Verbreitung von Schadsoftware und dem Ausführen von DoS-Attacken genutzt werden.

Schadsoftware wird nur unter bestimmten Bedingungen heruntergeladen

Eine Analyse des Codes ergab, dass diese Form der Attacke seit Ende Juni im Umlauf ist – also kurz nachdem Windows 11 vorgestellt wurde. Mit der Zunahme der Meldungen zu Windows 11 nahm auch die Verteilung der Datei per Phishing-Mails zu.

Anhand der Analyse wurde der vermeintliche Urheber des Angriffs ausgemacht: die Cybercrime-Gruppe FIN7. Darauf deutet unter anderem hin, dass der Code in dem Dokument gut versteckt ist, um eine genaue Analyse zu verhindern – Sicherheitsexpert*innen haben es aber trotzdem geschafft.

Wie bei früheren Attacken von FIN7, überprüft der Code in dem Word-Dokument zuerst bestimmte Parameter, bevor Schadsoftware heruntergeladen wird. Demnach wird keine Schadsoftware heruntergeladen, wenn folgende Bedingungen zutreffen:

  • Auf dem Computer ist die Sprache russisch eingestellt
  • Das System ist eine virtuelle Maschine
  • Es stehen weniger als 4GB RAM zur Verfügung

FIN7 versucht Strafverfolgung in Russland zu verhindern

Die Sprache wird überprüft, damit nicht Systeme in Russland oder von russischen Unternehmen in anderen Ländern infiziert werden. So will die russische Hackergruppe FIN7 eine Strafverfolgung im eigenen Land verhindern.

Die Suche nach einer virtuellen Maschine soll dabei helfen, dass die infizierte Datei nicht bei einer Überprüfung in einer virtuellen Umgebung auffliegt. Die RAM-Abfrage soll sicherstellen, dass durch das Ausführen der Schadsoftware im Hintergrund keine auffälligen Slowdowns entstehen, die den Angriff auffliegen lassen könnten.

FIN7 hat sich bislang darauf spezialisiert, Zahlungsinformationen von Kund*innen großer Unternehmen zu stehlen. In den USA haben sie bereits Schaden im Wert von mehr als einer Milliarde US-Dollar angerichtet, weil Kreditkarten-Daten von über 6.500 Bezahl-Terminals abgegriffen wurden.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare