Hallo, in den letzten Wochen wird wiederholt gemeldet, daß "SPAM" Emails mit Bezug auf bereits versendete E-Mails eintreffen, die einen Link zu Schadsoftware enthalten. Einen Vorgänger dieser Welle gab es bereits im März (s. Störungsmeldung Security vom 1.4.2021) Es scheint so zu sein, dass ein Empfänger der ursprünglichen E-Mail einen kompromittierten Rechner und vermutlich dann auch einen kompromittierten E-Mail Account hat. Leider haben wir solche kompromittierten Systeme/Accounts nicht nur bei externen Usern, sondern leider auch bei ein paar RWTH Usern. Die Links zu der Schadsoftware sind im Moment immer ähnlich strukturiert: irgend.eine.domain/titel--vorname--nachname/dateiname-mit-bezug-zur-ausgangs-email.zip Also ein kompromittierter Server irgendwo, dann ein Pfad, der den Namen einer Person darzustellen scheint, sowie ein ZIP File, dessen Name Bezug zur E-Mail hat. Dabei ist die Namenskomponente des ZIP-Files beim Abrufen der Schadsoftwarelinks egal, man kriegt immer ein ZIP. Dieses enthält ein Execlsheet mit Makros, Bewertung eines Samples auf Virustotal hier: https://www.virustotal.com/gui/file/e411f55caef690ea3354eb9349c166ac0eea44a2... Wenn es sich um einen kompromittierten Account der RWTH handelt, wird gerne als Absender "tim-kennung-des-komprtomittierten-accounts@domain.rwth-aachen.de" vorgegaukelt, tatsächlich ist das aber nur der Klartextteil des "From". Macht es uns aber leichter, den kompromittierten Account zu finden. Sollte bei Euch so etwas auflaufen, dem bitte nachgehen und prüfen, welcher der Teilnehmer an der zitierten Konversation betroffen ist. Bitte auch an csi@rwth-aachen.de melden. Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Computer Security Incidents Response Team RWTH Aachen University, Center for Computing and Communication Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 https://www.rz.rwth-aachen.de - csi@rwth-aachen.de