IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Foto: Flickr/Becky Stern
Immer mehr Sicherheitslösungen nutzen die Sandbox-Technologie, um Code in einer abgesicherten Umgebung zu testen und gegebenenfalls unschädlich zu machen. Darauf haben die Hintermänner der Erpressersoftware „TorrentLocker“ reagiert und beziehen die Anwender nun aktiv in den Infektionsweg mit ein. Die potentiellen Opfer werden aufgefordert, ein Captcha einzugeben – also eine zufällig gewählte Folge von Buchstaben und Zahlen, durch Bildfilter verzerrt und damit nicht maschinenlesbar. In Deutschland werden die Anwender insbesondere durch gefälschte DHL-Versandbestätigungen in die Falle gelockt.
Laut Trend Micro startete die aktuelle Angriffswelle Mitte Juni. Sie habe insbesondere Empfänger in der Pharmaindustrie im Visier. In der Liste der am meisten angegriffenen Länder rangiere Deutschland an fünfter Stelle.
Empfänger der gefälschten Nachrichten, die auf die eingebetteten Webadressen in der Nachricht klicken, werden auf bösartige Seiten umgeleitet. Dort sollen sie das angezeigte Captcha eingeben. Damit testen die Cyberkriminellen, ob die Anfrage an die Webseite automatisiert von der Sandbox einer Sicherheitslösung oder von einem Menschen abgeschickt wurde. Erst wenn das Captcha korrekt eingetippt wurde, wird der Download der Schadsoftware initiiert und diese im Anschluss installiert und ausgeführt. Wer in die Falle tappt, dessen Festplatte wird mit allen darauf befindlichen Daten verschlüsselt. Die Entschlüsselung erfolge angeblich gegen Zahlung eines „Lösegeldes“.
„Die Lehre aus diesem Fall lautet: Wer sich blind auf Sicherheitsmechanismen verlässt, hat schon verloren. Wer sich nicht absolut sicher ist, dass er oder sie tatsächlich die gewünschte Webseite besucht, sollte in Zukunft kein Captcha mehr eingeben“, rät Udo Schneider von Trend Micro.
