G Data aktif spam kampanyası konusunda uyarıyor: İddia edilen korona iş güvenliği kuralları kötü amaçlı yazılım içeriyor. Suçlular şu anda korona iş güvenliği kurallarının değiştirildiği iddiasıyla belge gönderiyor. E-posta, Sağlık Bakanlığı'ndan bilgi olarak gizlenmiştir.
Federal Sağlık Bakanlığı'ndan geldiği varsayılan bir e-posta, kötü amaçlı yazılım için bir indirici içerir. "Bund-Arbeitsschutzregel-Corona-September.zip" adlı dosya ekinin, işyerinde enfeksiyondan korunma için güncellenmiş ve artık bağlayıcı kuralları içeren bir belge içerdiği varsayılmaktadır. E-postanın metni, şirketlerin öncelikli olarak hedef grubun bir parçası olduğu sonucuna varılmasını sağlar. Bu nedenle, şirketlere şu anda yetkililerden geldiği varsayılan e-postaların posta kutusuna düştüğünde özellikle dikkatli olmaları tavsiye ediliyor. Şu anda aktif enfeksiyonlara ilişkin raporların farkındayız.
G DATA CyberDefense Güvenlik Evangelisti Tim Berghoff, "Korona salgını hala çok fazla belirsizliğe neden oluyor ve birçok ev-ofis ve işyerindeki hijyen kurallarının karışımı aslında işverenler için büyük zorluklar oluşturuyor" diyor. “Tam da bu nedenle sorumlular çok yakından bakmalı ve sadece resmi kaynaklara güvenmelidir. Çünkü kötü amaçlı yazılım bulaşması şu anda şirketler için olduğundan daha az kullanışlı."
Saldırganlar, çalışanların ve şirketlerin cehaletinden yararlanır
Tim Berghoff, G Data'da Güvenlik Evangelisti.
E-postanın metni, AB sağlık bakanları arasında güncellenen kuralların revize edildiği bir toplantıya işaret ediyor. Böyle bir toplantı olduğu bile doğru olabilir - ancak bu tür bilgiler genellikle bakanlıklardan e-posta ile gönderilmez, ayrı bir portalda yayınlanır. Proaktif postalama yoktur.
Ayrıca, e-posta metni "bugün" gerçekleşen bir toplantıya atıfta bulunmaktadır. Ayrıca mailde U, W, C ve D harfleri başta olmak üzere bazı karakter hataları ve umlautlar da mevcut. E-posta ayrıca "bundesministerium-gesundheit.com"a atıfta bulunan yanlış bir gönderen adresi içeriyor - ancak bu alan adı Sağlık Bakanlığı'na ait değil. E-posta metninde belirtilen adres "[e-posta korumalı]” aslında doğru.
Önceden bilgi, iyi yapılmış spam kampanyalarına karşı özellikle yararlıdır
Şirketler ve özel şahıslar, kendilerini bu tür bir spam kampanyasından gelen bir e-postanın kötü amaçlı yazılım bulaşmasından korumak için, yalnızca COVID19 salgını ve ilgili koruyucu önlemler hakkındaki tüm bilgileri resmi kaynaklardan almalıdır. Corona ve COVID19 ile ilgili tüm güncel bilgiler Federal Sağlık Bakanlığı'nın (BmG) web sitesinde toplanmaktadır.
Bu arada, aynı kötü amaçlı işleve sahip başka bir e-posta şu anda sahte başvuru mektubu biçiminde yolda. Sözde uygulama için kullanılan isimlerden biri de “Claudia Alick”.
Suçluların salgını faaliyetleri için bir manivela olarak kullanması yeni bir şey değil: Salgının başlangıcında bile dolandırıcılar, savunmasız şirketlere yapılan mali yardım ödemelerinin kısa süreliğine askıya alınmasını sağladı.
"Buer" komut dosyası yükleyicisinin kötü amaçlı işlevleri
Mevcut bilgilere göre, posta eki "Buer" adlı bir JScript yükleyici içerir - bu da internetten daha fazla kötü amaçlı yazılım indirir. Bu, diğer şeylerin yanı sıra banka hesaplarının şifrelerini hedefleyen bir bankacılık Truva Atı olan NuclearBot'tur.
GData.de adresindeki blogda bununla ilgili daha fazla bilgi