Diese Woche startete mit einem Trojaner-Angriff auf deutsche E-Mail-Nutzer. Schon seit längerer Zeit bemerkt das Eleven Research-Team eine zunehmende Lokalisierung von Spam, Phishing und Malware-Kampagnen. Die E-Mails werden in der jeweiligen Landessprache verfasst und teilweise wird auf landesspezifische Ereignisse Bezug genommen.
Gestern konnte das Eleven Research-Team zum ersten Mal die Umstellung eines Botnets auf eine länderspezifische Spam-Welle beobachten. Zunächst beobachtete Eleven vereinzelte E-Mails mit Betreffzeilen wie „foto 00533300“ mit einer Absender-Adresse von Vodafone Italien und „Uw kentekenrapport (basis versie) voor“ von der niederländischen Autoweek (autoweek.nl). Alle gingen an deutsche E-Mail-Adressen. Nur wer sollte in Deutschland an einem niederländischen Autoartikel interessiert sein? Wie viele deutsche E-Mail-Empfänger erwarten Bilder von einer italienischen Mobil-Nummer?
Leere E-Mail mit Malware im Anhang, angeblich von vodafone.it.
Eine weitere E-Mail, diesmal von einer niederländsichen Autozeitung.
Umstellung auf Deutsch
Die Auflösung erfolgte wenige Minuten später. Die Betreffzeile wechselte zu „Kundennummer: 186903138 Ihre Online-Rechnung 9284805497“, wobei die Zahlenkolonnen in den Mails geändert wurden. Angebliche Absender-Adresse war nun info-norply@weltbild.de. In den E-Mails befand sich die Kaufbestätigung für einen Gutschein.
Die eigentlich für Deutschland bestimmte Viren-E-Mail.
Angeblich ein Kauf bei ebay. Warum der von Weltbild verschickt wird, bleibt vorerst rätselhaft. Der Link in der E-Mail führt zur Originalwebsite von roomnight.de. Auf den Anhang, der mit RE_XXXX.zip bezeichnet ist, wird nicht näher eingegangen. Einmal mehr vertrauen die Versender darauf, dass die Empfänger bereits wissen, was zu tun ist oder einfach einen Blick in die angehängte Dokumente werfen wollen, um zu klären, was sie da bekommen haben. Wie in vielen Fällen zuvor beginnt hier das Problem: Ein Doppelklick auf den Anhang entpackt die Datei, ein weiterer Doppelklick installiert in diesem Falle die Schadsoftware.
Als Vorlage für die E-Mails dient erneut eine Original-E-Mail. Sie enthält neben dem Text auch noch den Abbinder des Anbieters inklusive Link zur Facebookseite und zu Twitter. Der Anbieter Roomnight hat bereits reagiert und warnt auf seiner Website vor den Mails mit gefährlichem Anhang.
Warnung vor den Viren-E-Mails auf der Website von Roomnight
Als Maximium registrierte das Eleven Research-Team knapp über 18.000 E-Mails in fünf Minuten. Der Hauptteil der Spam-Mails wurde zwischen 11.00 und 16.00 Uhr verschickt, mit einer Pause zwischen 12.25 und 13.25 Uhr. Danach wurden nur noch wenige Viren-E-Mails beobachtet.
Verlauf der Ausbreitung
Herkunftsländer liegen in Europa
Wer kennt die niederländische Autozeitung? Wer den Weltbild-Verlag und seinen Bekanntheitsgrad in Deutschland? Möglicherweise Betreiber, die sich in Europa befinden. Die E-Mails kommen aus europäischen Ländern: Ganz vorn mit dabei sind Italien und Polen mit 16 und neun Prozent Anteil am Versand. Und auch Deutschland ist mit sechs Prozent beteiligt. Man kann natürlich ein europäisches Botnet von jedem beliebigen Punkt der Welt steuern, aber vielleicht mögen es die Malware-Versender auch etwas lokaler?