Die Mails wurden von AhnLab (via BleepingComputer) entdeckt und teilen dem Betreiber mit, dass angeblich urheberrechtlich geschützte Inhalte auf der Plattform genutzt werden. Der Administrator wird dazu aufgefordert, die betroffenen Dateien einzusehen und daraufhin zu entfernen. Der Link verweist allerdings auf ein passwortgeschütztes ZIP-Archiv, welches eine komprimierte Datei enthält. Hiermit wird die Erkennung durch Sicherheits-Tools verhindert. Das ausführbare Programm wird als PDF-Dokument getarnt. In Wirklichkeit handelt es sich um einen NSIS-Installer, der den Verschlüsselungs-Trojaner LockBit 2.0 installiert.
Der Link in der gefälschten Mail zu einer Copyright-Verletzung verweist auf Ransomware
Meldungen müssen Dateien benennen
Vor allem erfahrene Administratoren dürften die Phishing-Mails jedoch relativ leicht erkennen. In einer legitimen Copyright-Meldung werden die betroffenen Dokumente in der Regel direkt benannt. Sollte nicht mitgeteilt werden, um welche Datei es sich handelt, kann meistens davon ausgegangen werden, dass es sich um eine gefälschte Nachricht handelt.
Es ist unüblich, dass der Betreiber zunächst eine Datei von einem fremden Server laden muss, um sie mit seinen Inhalten abzugleichen und den Verstoß beseitigen zu können. Daher sollten Nutzer keine Anhänge und Links aus Mails von unbekannten Absendern öffnen. Sollte dies doch notwendig sein, sollte eine abgesicherte Umgebung zum Einsatz kommen.
Download Kaspersky Anti-Ransomware – Kostenloser Schutz
Download CryptoSearch – verschlüsselte Dateien finden
Siehe auch:
