Der Übergang zum Fernunterricht war für Lehrer auf der ganzen Welt schwierig genug, doch Forscher von Proofpoint haben jetzt eine neue gezielte Kampagne beobachtet, die versucht, ihre Computer mit Ransomware zu infizieren. Die Kampagne verwendet Nachrichten, in denen sich der Angreifer als Elternteil oder Erziehungsberechtigter ausgibt, der im Namen eines Schülers online eine Aufgabe einreicht, und behauptet, dass der Schüler beim Versuch, die Aufgabe selbst einzureichen, auf technische Probleme gestoßen sei. Anstatt ihren E-Mails jedoch eine Zuordnung anzuhängen, fügte der Angreifer ein bösartiges Dokument an, das eine benutzerdefinierte Ransomware-Payload herunterlädt. Anfang Oktober entdeckten Proofpoint-Forscher eine neue gezielte E-Mail-Kampagne mit Themen wie „Laden der Feed-Aufgabe“, „Laden der Aufgabe fehlgeschlagen“ oder „Herunterladen der Aufgabe fehlgeschlagen“. Die darin enthaltenen E-Mails enthalten ein schädliches Dokument, das in einer ZIP-Datei gespeichert ist Die Kampagne versucht, Opfer mit der Bitte eines Elternteils anzulocken, der einen Lehrer bittet, dem Versenden einer Aufgabe per E-Mail zuzustimmen. Laut Proofpoint handelte es sich bei den Kampagnenzielen um Einzelpersonen von Lehrern, und der verantwortliche Angreifer hat wahrscheinlich deren E-Mail-Adressen aus der Datei entfernt Öffentliche Seiten einer Schulwebsite.
Ziellehrer
Das in den Kampagnen-E-Mails enthaltene schädliche Dokument wurde offenbar vom Angreifer angepasst. Es verwendet externe Beziehungen (Remote Model Injection), um ein weiteres schädliches Dokument herunterzuladen, das dann ausführbare Malware-Dateien herunterladen kann, wenn ein Benutzer Makros aktiviert hat. Die ausführbaren Malware-Dateien werden vom kostenlosen Code-Hosting-Dienst notabugorg gehostet und das Makro verwendet außerdem einen kostenlosen Web-Fehlerdienst namens Canarytokens, der den Angreifer darüber benachrichtigt, ob die heruntergeladene ausführbare Datei korrekt gestartet wurde oder nicht. Obwohl Proofpoint keine umfassende Analyse der Malware durchgeführt hat, scheint es sich um eine relativ einfache benutzerdefinierte Ransomware zu handeln, die in der Go-Programmiersprache namens „Crypt“ geschrieben wurde. Unternehmensforscher lieferten in einem Blogbeitrag zusätzliche Informationen zu dieser neuen Ransomware-Kampagne und sagten: „Schüler und Schulsysteme standen im Jahr 2020 vor einzigartigen Herausforderungen, und diese Meldungen machen sich die allgegenwärtigen technologischen Herausforderungen zunutze, die mit dem Online-Lernen einhergehen.“ Die Nachrichten sind gut formuliert und enthalten eine klare Vorstellung davon, was die Empfänger ansprechen würde. Zum jetzigen Zeitpunkt haben die Forscher von Proofpoint jedoch keine Zahlungen beobachtet, die an die Bitcoin-Adresse der Lösegeldforderung gesendet wurden. Obwohl diese Kampagne sehr begrenzt war, ist es möglich, dass dieser Akteur und andere weiterhin die Themen technologische Probleme und E-Learning nutzen, um ihren Ködern Legitimität und Dringlichkeit zu verleihen. Um nicht Opfer dieser neuen Ransomware-Kampagne zu werden, müssen Lehrer beim Überprüfen ihrer E-Mails wachsamer sein und das Öffnen von Nachrichten von unbekannten Absendern vermeiden.