Foto: zephyr_p - fotolia.de

IT-Sicherheit

Neuer Word-Trojaner: Spionieren, verschlüsseln, erpressen

„Spora“ heißt die neueste Evolutionsstufe der Verschlüsselungstrojaner. Sie versteckt sich in Word-Dokumenten, verschlüsselt Computer und liest Passwörter mit.

Auf einen Blick:

  • Das kann die neue Ransomware-Variante Spora: persönliche Daten verschlüsseln, Surfverhalten ausspionieren und Tastatureingaben wie Zugangsdaten mitlesen. Cyberkriminelle nutzen das, um die Opfer von Spora zu erpressen.
  • Gut getarnt: In der ersten Angriffswelle haben Virenprogramme die Attacke nicht erkannt.
  • So greift Spora an: Die Ransomware steckt in einem gewöhnlichen Word-Dokument. Wer das öffnet und die obligatorische Sicherheitswarnung des Windows-Systems ignoriert, gewährt dem Trojaner vollen Zugriff.
  • Sicherheitsvorkehrungen: Auch bei den aktuellen Angriffen gilt: Spora braucht die Hilfe der Nutzer. Wer bei unaufgefordert zugesandten E-Mails Vorsicht walten lässt, Anhänge nicht öffnet, lässt die Angriffe ins Leere laufen.

Die erste Angriffswelle bemerkte das Antivirus-Unternehmen Deep Instinct vor einer guten Woche: Am 20. August 2017 schlug der Verschlüsselungstrojaner Spora bei seinen Opfern zu. Der Angriff dauerte mindestens 48 Stunden. Das Transportmittel: E-Mails. Sporas Tarnung: ein Word-Dokument.

Darin versteckte sich die Ransomware und wartete darauf, von seinem Opfer entfesselt zu werden. Fast jeder Virenscanner habe das Schadprogramm dabei anfänglich übersehen, berichtet Deep Instinct.

Neue Variante: Trojaner sammelt Zugangsdaten

Das Tückische an der neuen Spora-Version: Die Ransomware verschlüsselt nicht nur die persönlichen Daten ihrer Opfer, um für deren Freigabe ein Lösegeld zu erpressen. Zusätzlich sammelt Spora Informationen vom Online-Surfverhalten seines Ziels: Es speichert Cookies und Browser-Historie, kann den Zwischenspeicher auslesen. Und es liest Tastatureingaben mit!

Damit sei es dem Trojaner möglich, die Zugangsdaten seiner Opfer auszuspionieren – etwa, um den Datenschatz an Dritte zu verkaufen, schreibt das IT-Newsportal silicon.de. Für die Cyberkriminellen ist das zugleich ein weiteres Druckmittel bei der Erpressung der Ransomware-Opfer.

So infiltriert Spora seine Ziele

Die Ransomware Spora schlummert in einem gewöhnlichen Word-Dokument, das per E-Mail den Weg zu seinem Angriffsziel findet. Wird das Word-Dokument geöffnet, kann die Ransomware meist noch nicht aktiv werden, weil Windows sie blockiert.

Denn Spora steckt in einem Javascript-Programm, das in das Word-Dokument eingebettet ist. Um befreit zu werden, braucht das Programm die Mithilfe des Nutzers. Der Trick: Dem Opfer wird im Word-Dokument ein verschwommenes Bild angezeigt, das wie eine Rechnung aussieht.

Lesen kann man dessen Inhalt nicht. Stattdessen wird der Nutzer dazu aufgefordert, einen Doppelklick auf das Bild auszuführen. Als Nächstes folgt eine Sicherheitswarnung von Windows. Beispiel: „Möchten Sie diese Datei wirklich öffnen?“. Diese Warnung ist der letzte Schutz bevor die Ransomware freigelassen wird. Wer nun auf „ja“ klickt, öffnet dem Trojaner die Türen. Der Schaden nimmt seinen Lauf.

Sicherheitsvorkehrungen gegen Spora

Trotz der ausgeklügelten Angriffstechnik spielt laut Spora-Entdecker Deep Instinct vor allem die Aufmerksamkeit der Internetnutzer eine wichtige Rolle beim Schutz gegen den Trojaner. Die Sicherheitsregeln lauten:

  • Seien Sie besonders achtsam bei E-Mails und E-Mail-Anhängen, die Ihnen unaufgefordert zugesendet werden.
  • Verweigern Sie Inhalten aus nicht vertrauenswürdigen Quellen, auf Ihrem System ausgeführt zu werden. Das gilt wie im Fall von Spora auch für scheinbar harmlose Unterprogramme in Word-Dokumenten.

Auch interessant:

Das könnte Ihnen auch gefallen: