Derzeit rollt eine neue Welle von Fake-Bewerbungen durch das Internet. Ziel ist es, den Erpressungstrojaner Gandcrab auf Computer zu bringen.

Wer dieser Tage eine E-Mail mit dem Betreff „Bewerbung für die ausgeschriebene Stelle“ oder „Bewerbung auf Ihre Stellenausschreibung“ erhält, sollte aufhorchen. Vor allem Personaler sollten sich vor solchen Mails in Acht nehmen. Absender und Betreffzeile der Nachrichten variieren.

Der Dateiname des Dokuments besteht aus Ziffern – beispielsweise 418177678.doc – und es ist mit Makros versehen. Wer die Datei öffnet, wird aufgefordert die Makros zu aktivieren, um die Kompatibilität zu gewährleisten und das Dokument lesen zu können.

Das sollte man auf gar keinen Fall machen! Ansonsten holt man sich den Erpressungstrojaner Gandcrab auf den PC. Die Makros öffnen ein verstecktes Terminal, um mit PowerShell Kommandos auszuführen und so Gandcrab herunterzuladen und auszuführen. Der Schädling verschlüsselt Dateien und fordert ein Lösegeld. So wie es aussieht, sind die Makros nur für Microsoft Word ausgelegt.

Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können. Dementsprechend schlug zum Zeitpunkt der Meldung keiner der 58 Scanner der Analyseplattform Virustotal an.

Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben. Wer so eine Nachricht bekommt, sollte sie löschen und den Anhang am besten gar nicht erst herunterladen geschweige denn öffnen.