Apple Gift Cards mit virulentem Anhang und Link zu Drive-by-Malware

von Legacy Eleven Blog Articles

Am heutigen Vormittag beobachtete das Eleven Research-Team einen Malware-Ausbruch mit der Betreffzeile „Apple Store Gift Card“, angeblicher Absender war dabei der „Apple AppStore“. Den Namen einer bekannten Marke oder eines Unternehmens zum Malware-Transport zu benutzen ist wirklich kein neuer Einfall.

Apple Gift Card - E-Mail mit Drive-by-Malware-Link und Malware im Anhang

Apple Gift Card – E-Mail mit Drive-by-Malware-Link und Malware im Anhang

Auch der Inhalt scheint nicht gerade originell: Als Vorlage diente eine Original-E-Mail von Apple mit dem bekannten Logo. Im Text ist nur ein Link enthalten und angehängt wurde eine Zip-Datei, die mit GiftCard benannt ist. Was also macht dieses Mailing so besonders?

Drive-by-Malware im ersten Versuch

Folgt man dem Link in der E-Mail, gelangt man auf eine Website mit einem verdächtig bekannten Muster. Der Anwender wird hingehalten und im Hintergrund werkeln drei Weiterleitungen zu verschiedenen URLs. Folgt man diesen, kommt man zu einem JavaScript, welches wiederum zu einer anderen URL weiterleitet. Aber an dieser Stelle habe die Malware-Verbreiter einen neuen Trick eingeführt.

Auszug aus dem Quellcode weiter nach 1000ms.

Auszug aus dem Quellcode weiter nach 1000ms.

Es geht nicht sofort weiter, erst nach einer Sekunde gelangt man zur nächsten Station. Der Sinn hinter dieser Aktion: Untersucht man automatisiert die Weiterleitungen, so bleibt man an dieser Stelle hängen und die mögliche Überprüfung auf Malware erkennt den Link nicht. Ein ganz einfacher Schutz vor maschinellem Ausspähen. Glück im Unglück ist, dass die danach aufgerufene Seite nicht mehr im Netz ist. Beim Aufruf erhält man nur noch die Fehlermeldung 502 Bad Gateway.

Zweiter Versuch: Doppelt verpackte Malware

Hat man den Link ignoriert, könnte man immer noch den Anhang öffnen. Im ersten Schritt gilt es die Zip-Datei zu entpacken, wobei man eine weitere Zip-Datei erhält. Erst nach dem zweiten Entpacken erhält man eine Datei mit dem Namen Apple gift card.exe. Diese ausführbare Datei ist auf Windows-Systemen lauffähig. Warum zweimal gepackt? Die meisten Virenscanner können in die erste Ebene der Zip-Datei schauen, ohne die Datei zu öffnen. In diesem Fall würde Schadsoftware erkannt werden.

Das Neue an dieser Viren-Welle ist die Verbindung von Drive-by-Malware mit verseuchtem Anhang. Bisher war es so, dass die Malware-Verbreiter Links zu den Original-Websites in den E-Mails beließen, um bei deren Nachverfolgung eine saubere Reputation zu haben. In diesem Falle scheinen die Versender auf ihren kleinen Trick mit dem Timeout zu vertrauen und profitieren im besten Falle doppelt. Die E-Mails kommen zu rund 20 Prozent von vietnamesischen IP-Adressen, knapp elf Prozent von indischen. Auf Platz drei der Verbreiter liegt erstaunlicherweise Iran, eigentlich nicht als wesentliche Spam- oder Malware-Quelle bekannt.

Zurück