Your Order #[ID-145128] has been Shipped! - Virus im Anflug

Aktuell macht eine besonders perfide Phishing-Welle die Runde. Sie nutzt das Vertrauen in bekannte Marken und legitime Software, um Ihren Rechner komplett unter fremde Kontrolle zu bringen. Wir haben den Angriff analysiert.

Die Masche: Termin mit dem Trojaner

Alles beginnt mit einer täuschend echten E-Mail von Calendly. Der Betreff spricht von einem „Meeting“, doch im Text geht es plötzlich um eine Paketlieferung. Die Angreifer nutzen die Neugier: Wer wissen will, wo sein Paket bleibt, klickt auf den Link – und landet auf einer professionell gestalteten Download-Seite mit Countdown.

Die technische Falle: Legitim, aber tödlich

Anstatt einer Versandinformation lädt der Browser eine Datei namens ScreenConnect.ClientSetup.msi herunter.

Hier liegt der Clou:

• Kein klassischer Virus: Die Angreifer nutzen die Profi-Fernwartungssoftware der Firma ConnectWise. Da das Programm an sich legal ist, schlagen viele Virenscanner nicht an. Eine Analyse bei VirusTotal ergab: Nur 7 von 63 Scannern erkannten die Gefahr sofort.

• Gefälschtes Vertrauen: Beim Ausführen zeigt Windows einen „verifizierten Herausgeber“ an. Viele Nutzer wiegen sich dadurch in Sicherheit und bestätigen die Installation.

Das Ziel: Voller Zugriff

Sobald die Installation abgeschlossen ist, wartet die Anwendung im Hintergrund. Ziel dürfte sein, dass sich irgendwann ein Supportmitarbeiter meldet, der Zugriff auf das System will.

Wie Sie sich schützen

1. Dateiendungen prüfen: Eine Versandbestätigung ist niemals eine .msi- oder .exe-Datei. Erwarten Sie ein Dokument (PDF/JPG), installieren Sie niemals ein Programm.
2. UAC-Warnungen ernst nehmen: Wenn Windows nach Administratorrechten fragt, obwohl Sie nur ein Dokument öffnen wollten: Abbrechen!
3. Falls Sie doch etwas herunterladen, immer zuerst mit VirusTotal prüfen.