Ransomware wird durch gefälschte Tripadvisor-Bewertungen verbreitet!

Das Ransomware-as-a-Service-Angebot Knight (früher bekannt als "Cyclops") nutzt gefälschte TripAdvisor-Beschwerden, um seine Malware zu verbreiten, berichtet BleepingComputer.

"Eine neuere Version dieser Kampagne, die von BleepingComputer entdeckt und analysiert wurde, enthält jetzt einen HTML-Anhang mit dem Namen 'TripAdvisor-Complaint-[random].PDF.htm'", so BleepingComputer. "Wenn die HTML-Datei geöffnet wird, verwendet sie die Browser-in-the-Browser-Phishing-Technik von Mr. D0x, um ein scheinbares Browserfenster zu TripAdvisor zu öffnen.

Dieses gefälschte Browser-Fenster gibt vor, eine Beschwerde an ein Restaurant zu sein, und fordert den Benutzer auf, es zu bewerten. Wenn der Benutzer jedoch auf die Schaltfläche 'Beschwerde lesen' klickt, wird eine Excel-XLL-Datei mit dem Namen 'TripAdvisor_Complaint-Possible-Suspension.xll.' heruntergeladen". Die Excel-Datei versucht, den Benutzer dazu zu bringen, ein Add-in zu aktivieren, das die Ransomware auslöst.

Wenn Sie die XLL öffnen, erkennt Microsoft Excel das «Mark of the Web» (MoTW), das Dateien hinzugefügt wird, die aus dem Internet heruntergeladen wurden, einschliesslich E-Mails. Wenn das MoTW erkannt wird, wird das in das Excel-Dokument integrierte .NET-Add-In nicht aktiviert, so dass der Angriff zunichte gemacht wird, es sei denn, der Benutzer hebt die Blockierung der Datei auf.

Ist jedoch kein MoTW-Flag in der Datei vorhanden, fragt Excel den Benutzer, ob er das Add-In aktivieren möchte. Das Aktivieren des Add-Ins führt dazu, dass der Knight Lite Ransomware-Verschlüsseler in einen neuen explorer.exe-Prozess injiziert wird und beginnt, die Dateien auf Ihrem Computer zu verschlüsseln."

Sicherheitsschulungen können dazu beitragen, dass Ransomware gar nicht erst auf Ihre Systeme gelangt, indem sie Ihren Mitarbeitern beibringen, Phishing-Angriffe zu erkennen.

Weitere Informationen, und wie Sie das angehen können, unter: Security Awareness Training & Simulated Phishing Platform (csf.ch)