This one is just in. Ein neuer Schadcode mit dem klangvollen Namen #Goldeneye treibt sein Unwesen in Bewerbungs E-Mails. Wir möchten dieses Ereignis nutzen um ein wenig über die Funktionsweise einer Application Whitelist und dem Vorgehen einer Schadsoftware wie #Goldeneye zu informieren.
Denn #Goldeneye erfindet das Rad nicht neu. Es greift nur gezielt die Personalabteilungen mit einer getürkten Bewerbung an, in der eine XLS Datei und teilweise auch ein PDF mit Bewerberdaten enthalten sind. Öffnet man die XLS Datei wird man dazu aufgefordert die Makros zu aktivieren. Jetzt kann über ein Script die eigentliche Schadsoftware nachgeladen und angestartet werden.
Dieser Mechanismus ist nichts neues, nur das Ziel ist jetzt die Personalabteilung von Unternehmen. Denn Bewerbungen werden dort immer empfangen. Social Engineering eben.
SecuLution schützt hier mit der Positivliste. Das bedeutet zwar, dass über die aktivierten Makros die Schadsoftware geladen werden kann, allerdings hindert der Abgleich des generierten Hashwertes mit der Positivliste die Schadsoftware an der Ausführung. Der Nutzer erhält lediglich die Nachricht, dass das Programm welches gerade ausgeführt werden sollte nicht auf der Whitelist steht und somit auch keinen Schaden anrichten kann.
Virenscanner haben gerade mit neuen Schadcodes ihre Probleme, da sie die brandneuen Schädlinge nicht kennen, sondern sich gerade noch komplett auf #Locky und Co. konzentrieren. Signaturen die vor #Goldeneye schützen haben sie nicht, so kann der Virus in den ersten Stunden nach seinem Auftauchen bereits massenhaft Systeme infizieren und ungestört arbeiten. Der Schaden ist entstanden.
Mit SecuLution bleibt alles beim alten. Ohne Signaturupdates oder aufwändige Netzwerkscans.
Für mehr Informationen zu #Goldeneye geht es hier zum Artikel von heise.de.
