Starke Malware-Wellen zielen auf deutsche Nutzer

von Legacy Eleven Blog Articles

Speziell an deutsche Empfänger gerichtete E-Mails mit Schadsoftware beobachtet das Eleven Research-Team seit längerem. In den vergangenen 24 Stunden trafen wieder fingierte Vodafone- und Post-E-Mails ein. Zusammen genommen machten sie rund 95 Prozent des Aufkommens der Kategorie Virus (bekannte Schadsoftware allgemein bei Eleven) aus. Die falschen Vodafone-E-Mails stammten hauptsächlich von asiatischen IP-Adressen, die Post-Benachrichtigung kam hauptsächlich aus den USA und Großbritannien.

Vodafone: A new picture or video message [Vodafone MMS]

Falsche Vodafone-E-Mail mit Trojaner im Anhang

Falsche Vodafone-E-Mail mit Trojaner im Anhang

Diese E-Mail versprach ein Bild oder eine neue Videobotschaft, angeblicher Absender war mms@getmyphoto.vodafone.com. Bereits im Oktober 2012 berichtete das Eleven Research-Team über Viren-E-Mails die angeblich Vodafone-Rechnungen enthalten sollten. Im Anhang befand sich jedoch Schadsoftware, die versuchte eine Lücke im Adobe-PDF-Reader auszunutzen. Im aktuellen Fall gibt es keinen Verweis auf den Anhang. Dieser ist mit einer Zeichenkette benannt, die Ziffern und am Ende mms enthält, beispielweise 8744Y4G_MMS.ZIP, alles im .zip-Format verpackt. Nach dem Entpacken erhält man 8744Y4G_MMS.jpg.exe. Diese „doppelte“ Dateiendung soll die wahren Eigenschaften der Datei verschleiern. Sie ist unter Windows ausführbar, aber wenn bekannte Dateiendungen ausgeschaltet werden (Windows-Option), dann glaubt der Nutzer eine Bilddatei vor sich zu haben, die er mit Doppelklick öffnen kann. In diesem Fall hat er sich dann die Schadsoftware installiert. Aktuell wird so der Trojaner Injector.EB.40 (Benennung nach AVIRA) verbreitet.

Paketbenachrichtigungen der deutschen Post

Im zweiten Fall traf das Eleven Research-Team auch auf alte Bekannte. Der Empfänger eines Päckchens wird aufgefordert dies abzuholen – Abholschein/Etikett im Anhang.

Fehlerhafter Text in falscher Paketbenachrichtigung

Fehlerhafter Text in falscher Paketbenachrichtigung

Der Trend, Viren mit angeblichem Paketschein zu versenden, wurde zuerst in den USA beobachtet und war lange Zeit eine beliebte Variante Viren und Trojaner zu verschicken. Im letzten Jahr gelangte er auch nach Deutschland. Meist handelte es sich dabei um falsche Post-/ DHL-Benachrichtigungen. Im Anhang, den der Kunde ausdrucken sollte, versteckte sich dann die Schadsoftware. Eleven warnte davor bereits in einem Blogpost über die „5 größten Gefahren für E-Mail-Nutzer“. Lange Zeit waren diese E-Mails leicht erkennbar am immer wiederkehrenden Fehler Leiferanschrift statt Lieferanschrift.

Die aktuelle Schadsoftwarewelle kommt mit geänderten Betreffzeile: „Tracking ID …“ gefolgt von einer zufälligen Ziffernkette. Aber leider misslingt auch hier der orthographisch korrekte Einstieg, denn der Text beginnt mit: „Deutche Post“ und enthält eher merkwürdige Formulierungen wie: „Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.“ und „ Sie sollen dieses Postetikett drucken lassen“. Falsch kodierte Umlaute und merkwürdige Formulierungen enttarnen die E-Mail als Fake. Und soweit bekannt hinterlässt die Deutsche Post/ DHL immer noch kleine Zettel im Briefkasten des Empfängers. Der Kommunikationskanal E-Mail existiert für die Paketzustellung einfach nicht.

Nicht neu, aber angepasst

Beide aktuellen Beispiele zeigen, dass die Malware-Versender ihre E-Mails anpassen und auf eine gewissen Quote achten. Spätestens wenn die versendete Malware (Trojaner) aktiviert und zu einem Botnet zusammengeschaltet werden soll, bemerken die Versender wie effektiv ihr Versand war, oder wie effektiv die Spam-Filter und Virenscanner sind.

Zurück