So schleusen Angreifer Schadsoftware über gefälschte Rechnungen ein

(Source: vladwel / iStock.com)

(Source: vladwel / iStock.com)

Unlängst befinden sich E-Mails mit angehängten Rechnungen im Umlauf, die sich nicht eindeutig einem Auftrag oder einer Bestellung zuordnen lassen. Beim Bundesamt für Cybersicherheit (BACS) gehen vermehrt entsprechende Meldungen von Unternehmen ein. 

Im Anhang dieser Nachrichten steckt laut der Behörde jedoch keine klassische Rechnung. Stattdessen finden Empfänger eine Zip-Datei, die eine einzelne HTML-Datei enthält. Dieser Umweg sei zentral für den Angriff: Während E-Mail-Programme aktive Inhalte wie Javascript in der Regel blockieren, gelten beim lokalen Öffnen im Browser deutlich weniger Einschränkungen und Skripte können dort ausgeführt werden.

Öffnen die Betroffen die entsprechende Zip-Datei, wirke der Inhalt zunächst harmlos - etwa wie ein älterer Mailverlauf ohne Links oder auffällige Dateien. Doch der Eindruck täuscht: Im Hintergrund baue die Datei nämlich eine Verbindung zu einer externen Website auf und lade dort hinterlegtes Javascript nach - allerdings nur unter bestimmten Bedingungen. Wie das BACS schreibt, prüfen die Angreifer etwa das Betriebssystem und liefern den schädlichen Code nur gezielt unter bestimmten Kriterien aus. Zudem stehe das Skript teilweise nur einer begrenzten Anzahl von Zugriffen zur Verfügung, was die Analyse für Unternehmen und Behörden erschwere.

Greift der Mechanismus, folgt der nächste Schritt: Eine Website zeigt laut Bundesamt eine Vorschau auf eine vermeintliche PDF-Datei an und fordert dazu auf, ein Captcha zu lösen, um darauf zuzugreifen. Nach der Eingabe erscheine dann ein Download-Link. Dahinter verberge sich erneut eine Zip-Datei - dieses Mal mit einem Javascript, das weitere Schadsoftware nachlädt.

Die Methode zeigt laut der Behörde, wie Angreifer auf raffinierte Art und Weise technische Schutzmechanismen umgehen und ihre potenziellen Opfer gezielt täuschen. Ein entscheidender Punkt bleibt jedoch: Solche Angriffe erfordern mehrere aktive Schritte durch die Empfänger, was einige doch abschreckt. 

Vorsicht geboten

Das BACS rät zur Vorsicht bei unerwarteten Rechnungen und gibt folgende Empfehlungen:

• Unerwartete Rechnungen kritisch prüfen; im Geschäftsverkehr werden diese in der Regel als PDF-Dokument versendet
• Vorsicht bei Zip-Anhängen - insbesondere, wenn diese HTML-Dateien enthalten
• Auf doppelte Dateiendungen wie ".pdf.html" achten, die auf Täuschungsversuche hindeuten können
• Vorgänge abbrechen, wenn sich nach dem Öffnen eines Anhangs ein Browser öffnet und zu weiteren Downloads oder Skriptausführungen auffordert
• Betriebssystem so konfigurieren, dass Javascript-Dateien standardmässig mit einem harmlosen Texteditor geöffnet werden
• Präventiv den Empfang riskanter Dateiformate auf dem E-Mail-Gateway blockieren 
• Falls eine verdächtige Datei ausgeführt wurde, das betroffene Gerät umgehend vom Netzwerk trennen, um eine Ausbreitung zu verhindern

Das BACS verzeichnet übrigens auch vermehrt Meldungen zu präparierten Websites, über die per Klick Schadsoftware installiert wird, um Passwörter und andere sensible Daten abzugreifen. Lesen Sie hier mehr dazu. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.