Malware-Versand im Namen US-amerikanischer Banken

von Legacy Eleven Blog Articles

Die gute Nachricht zuerst: Deutsche Internetnutzer sind außer Gefahr. Zumindest bei den Viren-Attacken des gestrigen Nachmittags (15.07.). Die Betreffzeile köderte mit „IMPORTANT Documents – WellsFargo“ und die Absenderadresse war angeblich service@wellsfargo.com oder docs@wellsfargo.com. Wells Fargo ist eine der größten Banken der USA. In Deutschland dürfte der Name durch die Finanzkrise bekannt geworden sein, da Wells Fargo eine der Banken war, die durch Staatshilfen unterstützt wurde.

E-Mail, angeblich von Wells Fargo, mit Malware im Anhang

E-Mail, angeblich von Wells Fargo, mit Malware im Anhang

Das Eleven Research-Team registrierte gestern seit ca. 15.00 Uhr (deutscher Zeit) einen erheblichen Anstieg der Virenbelastung. Für die letzten 24h haben Spam-E-Mails mit dem Betreff „IMPORTANT Documents – WellsFargo“ einen Anteil von rund 80 Prozent an der Kategorie Virenausbrüche, in der Eleven jegliche Art massenhaft versandter Malware erfasst.
In den untersuchten E-Mails wird der Anhang nach dem Entpacken zu einem PDF, bei angezeigter Dateiendung erkennt man jedoch, dass es sich um eine ausführbare Datei für Windows-Systeme handelt. Die eigentliche Schadsoftware wurde als Variante des Trojaners Tepfer identifiziert. Er verfügt über die beinahe üblichen Funktion sich ins System einzugraben, automatisch zu starten und weitere Schadsoftware aus dem Internet nachzuladen. Als Besonderheit bringt er jedoch eine Liste von gebräuchlichen Passwörtern mit, um gefunden Accounts auf dem Zielsystem damit zu testen. Im Fokus stehen dabei E-Mail-Konten und FTP-Accounts.

Weitere Malware-Welle startete kurz zuvor

Zwei weitere Malware-Wellen beobachtete das Eleven Research-Team am gestrigen Tag. In einer war die Bank of America der Köder. Der Betreff lautete: „Merchant Statement“ mit angeblichem Absender “Bank of America” noreply@bankofamerica.com. Auch hier wurde auf den Anhang verwiesen, der einen Kontoauszug enthalten sollte. Eine weitere Version des Trojaners Tepfer wurde mit dem Betreff „BACS ADDACS Advice Report“ versandt. BACS ist ein englischer Finanzdienstleister.
Über 50 Prozent der erstgenannten E-Mails kamen von US-amerikanischen IP-Adressen, weitere fünf Prozent aus Kanada. Ebenfalls unter den Top fünf Versendern: Großbritannien und Österreich.

Warnung für deutsche E-Mail-Nutzer

Sind deutsche E-Mail-Nutzer außer Gefahr? Die Malware-Versender agieren schnell und möglicherweise schon morgen werden Sie vermeintliche Kontoauszüge Ihrer Bank in Ihrem E-Mail-Postfach finden. Was in den USA funktioniert, wird häufig lokalisiert in weiteren Ländern ausprobiert.

Kein Text in der E-Mail, doch der Anhang enthält einen Trojaner.

Kein Text in der E-Mail, doch der Anhang enthält einen Trojaner.

Die größte Gefahr geht jedoch zurzeit von fast leeren E-Mails aus. Es wird der Anschein erweckt, es handele sich um eine MMS, SMS oder Benachrichtigung von einem Mobilfunkprovider. In der Betreffzeile findet sich nur eine (frei erfundene) Telefonnummer und in der E-Mail ein Anhang mit der angeblichen Nachricht. Dadurch vermeiden die Malware-Versender die schwierige deutsche Sprache und können trotzdem damit rechnen, dass der Empfänger schon weiß, was er zu hat.

Zurück