Die Wellen der speziell an deutsche Empfänger gerichteten Trojaner-E-Mails gehen weiter. Das Eleven Research-Team entdeckte in den vergangenen 24 Stunden E-Mails mit dem Betreff: „Ihre Bestellung finden Sie im Anhang. Zalando.de“ und „Zalando.de – Ihre Bestellung vom 11.12.2013“ angeblicher Absender ist service@zalando.de. Die E-Mails selbst sind einfach und recht kurz:
Sehr geehrte Kundin! Sehr geehrter Kunde!
Ihre Bestellung finden Sie im Anhang.
Vielen Dank für Ihren Einkauf
Ihr Zalando-Team
Falsche Zalando-Bestellung mit Trojaner im Anhang.
Zalando ist einer der bekanntesten Webshops und so dürfte die Wahrscheinlichkeit groß sein, dass man unter den Empfängern Zalando-Kunden findet. Vergessene Bestellung oder fehlgeleitete? Der nächste Klick dürfte nur noch Formsache sein, führt jedoch zur Schadsoftware. Der Anhang Bestellung.zip enthält eine Zalando-Bestellung.exe, die auf Windowssystemen angreift. Die Schadsoftware wurde als Trojaner W32/Trojan.TOPZ-6677 identifiziert.
Flugladen.de ebenfalls betroffen
Eine weitere starke Outbreakwelle erreichte die Eleven Server am heutigen Vormittag. Dabei wurde wieder eine komplette Bestellbestätigung kopiert. Die Betreffzeile lautet: „E-Ticket Intl. Apt. Referenznummer 0703103238“.
Auch die falsche Buchungsbestätigung von flugladen.de hat einen Trojaner angehängt.
Die Versender erzeugen so orthographisch und grammatisch korrekte Texte und die enthaltenen URLs besitzen eine gute Reputation. Im aktuellen Fall führen diese Links zum Download des Adobe Readers und zu FAQs des Frankfurter Flughafen. Einzig und allein der Anhang enthält die Schadsoftware. Wir der Anhang entpackt und mit Doppelklick geöffnet, so ist der Trojaner installiert. Im AV-Portal virustotal.com wird der Schädling erst von drei der 45 Virenscannern erkannt. Die Hauptverbreiter des Trojaners sitzen diesmal in der Türkei, Korea und Singapur. Die Betreiber von flugladen.de haben bereits reagiert und warnen vor den falschen E-Mails.
Lokalisierter Spam- und Malware-Versand
Rund 90 Prozent der verseuchten E-Mails kommen von georgischen IP-Adressen, einige wenige auch aus Spanien, Deutschland und den USA. Nachdem vor einige Wochen bereits das TRUSTED SHOPS Gütesiegel als Köder verwendet wurde, ist dies bereits die zweite große deutsche Marke deren Name missbraucht wird um Schadsoftware zu versenden. Das Eleven Research-Team sieht den Trend des lokalisierten Malware und Spam-Versands bestätigt. Spam- und Viren-E-Mails in deutscher Sprache und mit Bezügen zu deutschen Unternehmen machen es dem Empfänger zunehmende schwerer seriöse E-Mails von Spam- und Malware zu unterscheiden.