G Data met en garde contre une campagne de spam active : les prétendues règles de sécurité au travail corona contiennent des logiciels malveillants. Les criminels envoient actuellement un document contenant des règles de sécurité au travail corona prétendument modifiées. Le courriel est déguisé en information du ministère de la Santé.
Un e-mail censé provenir du ministère fédéral de la Santé contient un téléchargeur de logiciels malveillants. La pièce jointe portant le nom "Bund-Arbeitsschutzregel-Corona-September.zip" contient censément un document avec des règles mises à jour et désormais contraignantes pour la protection contre les infections sur le lieu de travail. Le texte de l'e-mail permet de conclure que les entreprises font principalement partie du groupe cible. Pour cette raison, il est actuellement conseillé aux entreprises d'être particulièrement prudentes lorsque de supposés e-mails des autorités se retrouvent dans la boîte aux lettres. Nous avons connaissance de rapports d'infections actuellement actives.
"La pandémie de corona cause toujours beaucoup d'incertitude - et le mélange de nombreuses règles de bureau à domicile et d'hygiène sur le lieu de travail pose en fait de grands défis aux employeurs", déclare Tim Berghoff, évangéliste de la sécurité chez G DATA CyberDefense. « Pour cette raison même, les responsables devraient regarder de très près et ne faire confiance qu'aux sources officielles. Parce qu'une infection par un logiciel malveillant est encore moins utile pour les entreprises en ce moment qu'elle ne l'est déjà.
Les attaquants profitent de l'ignorance des employés et des entreprises
Le texte de l'e-mail fait référence à une réunion entre les ministres de la santé de l'UE au cours de laquelle les règles mises à jour ont été révisées. Il se peut même qu'il y ait eu une telle réunion - cependant, ces informations ne sont généralement pas envoyées par courrier électronique par les ministères, mais sont publiées sur un portail séparé. Il n'y a pas de mailing proactif.
De plus, le texte du courriel fait référence à une réunion qui a eu lieu "aujourd'hui". Il y a aussi quelques erreurs de caractère dans le courrier, notamment les lettres U, W, C et D ainsi que les trémas. L'e-mail contient également une adresse d'expéditeur incorrecte qui fait référence à "bundesministerium-gesundheit.com" - mais ce domaine n'appartient pas au ministère de la Santé. L'adresse mentionnée dans le texte de l'e-mail"[email protected]” est en fait correct.
Les informations préalables sont particulièrement utiles contre les campagnes de spam bien faites
Afin de se protéger d'une infection par un logiciel malveillant à partir d'un e-mail d'une telle campagne de spam, les entreprises et les particuliers ne doivent obtenir toutes les informations sur la pandémie COVID19 et les mesures de protection correspondantes qu'à partir de sources officielles. Toutes les informations actuelles sur Corona et COVID19 sont collectées sur le site Web du ministère fédéral de la Santé (BmG).
Soit dit en passant, un autre e-mail avec la même fonction malveillante est actuellement en route sous la forme d'une fausse lettre de candidature. L'un des noms utilisés pour la prétendue application est "Claudia Alick".
Le fait que des criminels utilisent la pandémie comme levier pour leurs activités n'est pas nouveau : même au début de la pandémie, des escrocs ont assuré que le versement d'aides financières aux entreprises vulnérables était momentanément suspendu.
Fonctions malveillantes du chargeur de script "Buer"
Selon les connaissances actuelles, la pièce jointe contient un chargeur JScript appelé "Buer" - qui télécharge à son tour d'autres logiciels malveillants depuis Internet. Il s'agit de NuclearBot, un cheval de Troie bancaire qui cible, entre autres, les mots de passe des comptes bancaires.
Plus d'informations à ce sujet sur le blog de GData.de