Kaffee mit Schädling gefällig?

Um einen Empfänger dazu zu bringen, einen schädlichen Anhang zu öffnen, setzen Cyberkriminelle in der Regel auf Mail-Schablonen. Und hier kommen meist zwei Hauptbestandteile zum Einsatz: ein bekannter Absendername (Bank, soziales Netzwerk, Provider oder irgendeine andere Organisation, mit der der Empfänger sehr wahrscheinlich etwas zu tun hat) plus ein neugierig machender oder erschreckender Betreff. Diese beiden Kriterien versuchten die Cyberkriminellen auch zu berücksichtigen, als sie im Namen der weltgrößten Kaffeehauskette, Starbucks, eine Attacke auf die Anwender organisierten.

blog_vergelis_starbucks_de

In den Mitteilungen der von Kaspersky Lab entdeckten Versendung hieß es, dass wenige Stunden zuvor ein Freund des Empfängers eine Bestellung für diesen zu einem besonderen Anlass aufgegeben habe. Dabei habe der Freund um Wahrung seiner Anonymität gebeten, um die Spannung aufrecht zu erhalten und den Empfänger dazu zu veranlassen, zu dem Treffen zu erscheinen. Zu diesem Anlass hätten die Mitarbeiter des Cafés nun ein traumhaftes Menü zusammengestellt, mit dem der Empfänger sich schon im Vorwege vertraut machen könne, indem er den Anhang öffnet, in dem ihm auch gleichzeitig der Ort und die genaue Zeit der Zusammenkunft mittgeteilt würden. Die Mails schlossen mit den besten Wünschen für den bevorstehenden Abend.

Allen Mitteilungen der Versendung wurde höchste Priorität zugeschrieben. Dabei änderten sich die Adressen der Absender, die bei den kostenlosen Services Gmail и Yahoo! registriert waren, von Mail zu Mail, wobei es sich um willkürlich generierte Wortgefüge des folgenden Typs handelte incubationg46@, mendaciousker0@ usw.

Der Anhang enthielt eine ausführbare Datei, wobei sich die Cyberkriminellen noch nicht einmal die Mühe gemacht hatten, sie mit Hilfe eines Archivs oder einer doppelten Erweiterung zu tarnen. Offensichtlich hatten sie gehofft, dass der erfreute Empfänger die Datei öffnet, ohne lange nachzudenken. Kaspersky Lab detektiert die angehängte Datei als Trojan-Spy.Win32.Zbot.sapu, eine Modifikation eines der populärsten Spionageprogramme der Familie Zbot (ZeuS). Diese Programme werden von Gangstern benutzt, um verschiedene vertrauliche Informationen zu stehlen. Und dieser Zbot ist zudem in der Lage, den Schädling Rootkit.Win32.Necurs oder Rootkit.Win64.Necurs zu installieren, der die Arbeit von AV-Programmen und anderen Schutzlösungen stark behindert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.