Massive Virenwellen: Angebliche Benachrichtigung zu Luftfrachtsendung und Lohnabrechnung enthält versteckte Schadsoftware im PDF-Anhang

von Legacy Eleven Blog Articles

In den vergangen 24 Stunden wurden zwei starke Mailings mit Schadsoftware im Anhang durch das Eleven Research-Team registriert. Speziell an deutschsprachige E-Mail-Nutzer richtete sich eine Benachrichtigung über eine Luftfrachtsendung. Im Betreff hieß es: „Luftfrachtsendung AWB“. Der Text der E-Mail: „Hallo, anbei der AWB bitte bestätigen ob alles Ok ist. Danke.” Danach folgte eine E-Mail-Signatur der First Class Zollservice & Transportvermittlungs GmbH aus Möhrfelden Walldorf. Der Anhang war mit AWB-Avis und einer Ziffernfolge benannt und sollte angeblich ein PDF sein.

Luftfrachsendung AWB - angebliches PDF enthält Trojaner Andromeda.AQ

Luftfrachtsendung AWB – angebliches PDF enthält Trojaner Andromeda.AQ

Die E-Mails wurden zwischen dem 4. und 5. März verschickt. Ganz untypisch waren die Herkunftsländer bzw. die IP-Adressen. Zu einem großen Teil kam die Schadsoftware aus Italien, danach folgten die Türkei und Spanien. Avira vergab für diesen Trojaner die Bezeichnung Andromeda.AQ. Die Anhänge enthalten häufig die Wortkombination AWB-Avis, aber auch den Namen MSPAINT, welcher auf das Microsoft Zeichenprogramm verweist. Weitere Informationen zum angehängten Trojaner gibt es unter Virustotal.com

ADP TotalSource – Lohnabrechnung enthält Malware

Eine zweite, weit größere Malware-Welle war in englischer Sprache verfasst. Hier ging es um eine Lohnabrechnung: „ADP TotalSource Automated Payroll Invoice Notification“. ADP steht dabei für Automatic Data Processing, es handelt sich um einen Dienstleister, der Lohnabrechnungen und ähnliches anbietet. Wie im zuvor genannten Fall wird in der E-Mail auf den Anhang verwiesen, auch hier wieder angeblich ein PDF-Dokument. Anhand der History dieser Schadsoftware lässt sich verfolgen, mit welchen Tricks die Kriminellen versuchen die Empfänger zum Öffnen der E-Mail, genauer gesagt des Anhangs zu bewegen. Das erste Auftreten registrierte Eleven im Juni des Jahres 2009. Über das ganze Jahr 2010 wurde die Betreffzeile „UPS Delivery Problem NR 03890.“ verwendet. In den Jahren 2011 und 12 wechselten die Betreffzeilen häufiger. Nun hieß es „Your credit card is blocked“ oder auch „Scan from a Hewlett-Packard Officejet #254192“ und angebliche Lieferscheine gab es von fast jedem großen Packetversender. Die fingierte Abrechnung ist also nur der letzte Versuch über eine geschickt gewählte Betreffzeile den Empfänger zum Öffnen des Anhangs zu bewegen.

ADP TotalSource - auch hier steckt der schädling im Anhnag.

ADP TotalSource – auch hier steckt der Sbchädling im Anhnag.

Die E-Mails stammen zu einem großen Teil aus den USA (26%) und dort vom Provider Comcast, eine weitere große Menge aus Argentinien. In der Spitze wurden fast 3000 Mails in fünf Minuten verschickt. Bereits 20 Sekunden nach Ausbruch der Malware-Welle wurde sie durch die Outbreak-Detection von Eleven erkannt. Erst nach rund vier Stunden stand eine Signatur zu Erkennung bereit. Erst heute früh um 6.15 Uhr (MEZ) kam die Malware-Welle zum erliegen.

Business-Kommunikation im Visier der Kriminellen

Gerade das letzte Beispiel beweist, dass immer wieder Firmen im Visier der Malware-Versender stehen. Für eine Privatperson dürfte eine englischsprachige Lohnabrechnung eher ungewöhnlich sein. Steuerberater oder Finanzdienstleister müssen schon zweimal überlegen, ob sie nicht möglicherweise Unterlagen aus den USA erwarten. Auch die Benachrichtigung über die Luftfrachtsendung dürfte im geschäftlichen Umfeld häufiger auftreten als im privaten. Lieferungen aus oder ins Ausland gehören mittlerweile zum Tagesgeschäft in vielen Firmen.

Zurück