iframe-Konstruktion verbreitet falsche Adobe Updates

von Legacy Eleven Blog Articles

Ein ganzes Bündel an Schadsoftware wird derzeit versucht, deutschen E-Mail-Empfängern unter zuschieben. „Abschreibung von 950.00 Euro von Ihrem Bankkonto in VOLKSBANK“ oder „ Es sind 950.00 Euro von Ihrem Bankkonto in VOLKSBANK zu begleichen.“, lauten die Betreffzeilen der E-Mails. In den E-Mails heißt es weiter: „Wir haben eine Anfragen bekommen …“ und danach folgt ein Link zum angeblichen Auftrag. Gesendet wurde die E-Mail angeblich vom “Kundenunterstützungsdienst der Bank Volksbank”. An dieser Stelle könnte der Empfänger zum ersten Mal misstrauisch werden, denn das sind recht ungewöhnliche Bezeichnungen.

Information über angebliche Kontobewegung.

Information über eine angebliche Kontobewegung

Klickt man auf den Link, nimmt das Unglück seinen Lauf. Über eine Umleitung gelangt man zu einer Website, die versucht, ein Java-Programm zu starten. Aufgrund der kürzlich bekannt gewordenen Sicherheitslücken sollte die Funktion im Browser ausgeschaltet sein bzw. nur durch explizites Anschalten durch den Anwender ausgeführt werden.

Website versucht Java-Programm zu starten.

Website versuch,t Java-Programm zu starten.

Im Hintergrund öffnet sich jedoch ein weiteres Fenster. Von der Adobe-Seite ist ein Update für den Flash-Player zu installieren. Wer genau hin sieht, entdeckt jedoch in der Adresszeile des Browsers, dass er sich nicht auf der Website von Adobe befindet.

Angebliches Adobe-Update von fremder Website.

Angebliches Adobe-Update von fremder Website.

Vielmehr wurden Teile der Website kopiert, um den Anschein zu erwecken, es handele sich im die Originalseite. Überfährt man die Menüleiste wird der Schwindel offensichtlich, denn dort fehlen bereits einige grafische Elemente. Die Sicherheitseinstellungen der meisten Browser verhindern hier einen automatischen Download und das Öffnen der Datei.

Ursprungsland Polen

Die Untersuchung des Quelltexts der Websiten zeigt eine polnische Ursprungsadresse. Von dort aus werden drei verschiedene URLs angesteuert, wo die Schadsoftware offensichtlich geparkt wurde.

Analyse der Malware-Verbreitung.

Analyse der Malware-Verbreitung

Eine ähnliche Spam-Welle beobachtet das Eleven Research-Team vor einigen Monaten. Aufhänger war immer wieder Gutschrift oder Abbuchung eines größeren Geldbetrages von einem Konto bei einem deutschen Kreditinstitut. Später wurden ähnliche E-Mails für die niederländische Rabo-Bank gefunden. Auch die Weiterleitung verschiedene Adresse, genauer das nachladen von unterschiedlichen Internet-Adressen ist nicht neu. Dies sichert beim Ausfall einer Internetseite, dass immerhin ein Teil des Schadsoftware „ausgeliefert“ werden kann.

Ein Detail am Rande: Die Schadsoftware-Versender scheinen auf eine Untersuchung vorbereitet zu sein. Bei mehrfachem Aufruf der Seite wird man einfach auf die Internetseite von MSN Deutschland weiter geleitet.

Zurück