Das Eleven Research-Team warnt vor E-Mails, mit denen Malware-Versender versuchen, das öffentliche Interesse an den Bombenanschlägen beim Boston Marathon am Montag dieser Woche auszunutzen. Die ersten E-Mails der Kampagne identifizierte das Eleven Research-Team in der Nacht vom 16. auf den 17. April 2013, etwa 27 Stunden nach den Anschlägen.
Die E-Mails haben Betreffzeilen, die brandheiße Nachrichten oder exklusive Videos von dem Terrorangriff versprechen: “BREAKING – Boston Marathon Explosion”, “Explosion at Boston Marathon”, “Boston Explosion Caught on Video” oder “Video of Explosion at the Boston Marathon 2013″. Die E-Mail selbst enthält keinerlei Text, sondern lediglich einen Link, der aus einer IP-Adresse und dem Zusatz “boston.html” oder “news.html” besteht.
Links führen zu infizierter Webseite
Wird der Link angeklickt, landet der Nutzer auf einer Website, die tatsächlich mehrere YouTube-Videos von den Anschlägen enthält. Für den Nutzer nicht sichtbar befindet sich auf der Seite jedoch auch ein iframe, der zu bösartigem JavaScript-Code führt, welcher beim Öffnen der Seite aktiviert wird. Bei der Attacke handelt es sich um so genannte Drive-by-Malware: Dabei verlinken Spam-E-Mails zu Malware-infizierten Websites, die beim Öffnen im Browser zur Infektion des Rechners führen, ohne dass der Nutzer dies bemerkt.
Die in den E-Mails enthaltenen Links führen zu infizierten Websites mit Videos
Das Eleven Research-Team rechnet damit, dass dies erst der Beginn einer Reihe von Versuchen ist, mit denen Cyberkriminelle das große Interesse an den Terroranschlägen während des Boston Marathon für ihre Zwecke ausnutzen. E-Mail-Nutzern wird geraten, bei E-Mails, die “Eilmeldungen”, “exklusive Videos” und ähnliches versprechen besonders vorsichtig zu sein. Der sicherste Weg ist, vertrauenswürdige Nachrichtenportale aufzusuchen, um aktuelle Nachrichtenmeldungen oder -videos zu finden.
Neuer Trend: Aktuelle Ereignisse als Köder
Die Malware-Welle reiht sich ein in einen Trend, der sich in letzter Zeit deutlich verstärkt hat: die Nutzung des öffentlichen Interesses an wichtigen Ereignissen als Köder, mit dessen Hilfe Nutzer auf infizierte Websites gelockt werden sollen. Erst im vergangenen Monat waren beispielsweise die Wahl des neuen Papstes und die Finanzkrise in Zypern auf diese Weise ausgenutzt worden.