Cyberkriminelle missbrauchen Schweizer Behördendienst

Fighting AI-powered cyber attacks with AI

Ende Juni wurde eine grosse «Malspam»-Kampagne gestartet. Vermeintlicher Absender ist der amtliche Login-Dienst AGOV.

Über eine E-Mail mit vermeintlichem Absender AGOV wird versucht, die Geräte von Nutzerinnen und Nutzern von macOS mit einer Schadsoftware (sogenannter «Malware») namens «Poseidon Stealer» zu infizieren. Seither klärt das Bundesamt für Cybersicherheit (BACS) über die Hintergründe der Kampagne auf und gibt Ratschläge zur Scha-densprävention.

Infektionsweg

Konkret geht es darum, dass Cyberkriminelle E-Mails versenden, die vermeintlich von AGOV stammen. AGOV ist das Behörden-Login der Schweiz, welches bei Behörden von Bund, Kantonen und Gemeinden eingesetzt werden kann, um beispielsweise die Steuererklärung elektronisch auszufüllen.

Derzeit erreichen das BACS viele Meldungen zu solch missbräuchlichen E-Mails. In der E-Mail werden die Angeschriebenen aufgefordert, ein Software-Paket herunterzuladen. Es wird unter anderem behauptet, dass die AGOV access App als Desktop-Anwendung verfügbar sei. Das ist falsch. Die AGOV access App ist nur für Smartphones verfügbar.

Diese missbräuchlichen E-Mails enthalten einen Link zur Microsofts Suchmaschine «Bing», welche das Opfer auf eine weitere Webseite weiterleitet. Auf dieser Website wird das Opfer wiederum auf eine andere Website weitergeleitet, auf welcher ein Software-Paket für Apples Betriebssystem macOS angeboten wird.

Lädt das Opfer die Datei herunter und führt es diese aus, wird der Computer mit einer Schadsoftware namens «Poseidon Stealer» infiziert. Ist diese Schadsoftware einmal auf dem Gerät installiert, stiehlt sie diverse Informationen vom Computer des Opfers und sendet diese an die Cyberkriminellen.

Abwehr

Zusammen mit den Partnern hat das BACS entsprechende Abwehrmassnahmen eingeleitet, um die Bedrohung zu mitigieren, also zu verkleinern. Das BACS empfiehlt, diese missbräuchliche E-Mail umgehend zu löschen. Anwenderinnen und Anwendern, welche die Malware heruntergeladen und installiert haben, empfiehlt das BACS, das betroffene Gerät umgehend neu aufzusetzen.

Für Cybersicherheitsexpertinnen und -experten hat das BACS zusätzliche technische Informationen und Indikatoren zusammengestellt («Indicators of compromise» – IOCs) welche auf der Github Seite des GovCERT abrufbar sind.