Das Unternehmen Any.Run, das sich auf die Jagd nach Malware spezialisiert hat, entdeckte die neue Phishing-Kampagne. Die Experten fanden heraus, dass Angreifer die korrumpierten Dokumente als Anhänge in E-Mails verschicken, die vorgeben, zum Beispiel von Lohn- und Personalabteilungen zu stammen. Inhaltlich geht es immer darum, dass die Mitarbeitenden zahlreiche Vergünstigungen und Prämien erhalten soll – ein klassischer Fall von Social Engineering.
Breit aufgestellt und doch technisch gleich
Wie genau diese angeblich aussehen, variieren stark. Die Kriminellen verwenden eine breite Palette von Themen, einschließlich:
- Annual_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx
- Annual_Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
- Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
- Due_&_Payment_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
- Q4_Benefits_&_Bonus_for_[name]_IyNURVhUTlVNUkFORE9NNDUjIw__.docx.bin
Bei aller Abwechslung haben die Dokumente dieser Kampagne alle eine Gemeinsamkeit: Sie enthalten stets die base64-kodierte Zeichenfolge „IyNURVhUTlVNUkFORE9NNDUjIw“, die zu „##TEXTNUMRANDOM45##“ dekodiert wird.
