Achtung KMU - Anruf von Zustellservice mit Ankündigung von Liefer Mail ist ein eBanking Trojaner

Die Betrugsmasche

Klickt man auf den Link im Mail, so wird eine Malware heruntergeladen, die einen eBanking Trojaner ausführt. Einmal installiert, werden die künftigen eBanking Aktivitäten des KMU an die Täter umgeleitet, die die Zahlungen modifizieren und die Überweisung zu ihren Gunsten umleiten. Besonders perfide ist, dass aktuelle Antivirensoftware keine Schadsoftware auf dem infizierten PC findet und die 3D SMS Verfikation ausgehebelt wird.

Seit kurzen werden auch Daten in grossem Stil entwendet. Nach mehreren Wochen werden die Daten verschlüsselt und das KMU erpresst.

Was muss ich tun

• Klicken Sie auf KEINEN Fall auf den Link.
• Schreiben Sie die Telefonnummer der Betrüger auf und melden sie uns.
• Speichern Sie das Mail und schicken Sie es uns als Anhang.
• Falls Sie eBanking verwenden, melden Sie sich umgehend bei Ihrer Bank und erwähnen Sie die mögliche Infektion mit dem eBanking Trojaner RETEFE.

Ich habe schon auf den Link geklickt

• Benutzen Sie den Computer nicht mehr weiter, ihre Zugangsdaten zu Online Diensten können sonst von den Betrügern missbraucht werden.
• Erstatten Sie Strafanzeige beim örtlichen Polizeiposten.
• Lassen Sie Ihren Computer komplett neu aufsetzen.

Erkenntnisse der Polizei

Ablauf einer Infektion

• eBanking Trojaner RETEFE.
• Quasar RAT (Remote Admin Tool).
• Cobalt Strike (Test Software um Schwachstellen zu finden).
• Installieren von Ransomware (Verschiedene Familien).

Hinweise für den IT Fachmann

Um festzustellen, ob der Computer infiziert ist, kontrollieren Sie die Proxy Einstellungen im Betriebssystem und im Browser. Die Malware richtet eine lokale Umleitung auf täterische Websites im TOR Netzwerk ein. Dazu installiert sie einen portablen TOR Browser und SOCAT.