Cutwail verteilt Tinba in deutschsprachigem Spam

Die Aktivisten des Schweizer IT-Sicherheitsprojekts Abuse.ch warnen vor drei parallelen schädlichen Versendungen, die Ende Januar in der Schweiz registriert wurden. Alle Spam-Mails werden in großer Auflage von den Adressen eines kostenlosen Schweizer E-Mail-Anbieters verbreitet (offensichtlich gefälscht), sind in deutscher Sprache verfasst und mit einem Anhang im .zip-Format versehen, in dem sich der Bank-Trojaner Tinba verbirgt.

Im ersten Fall fordern die Cyberkriminellen den Empfänger auf, ein von einem iPhone gesendetes Foto anzugucken. Als Absender werden dabei willkürliche Adressen von @bluewin.ch angegeben, einem der führenden E-Mail-Provider der Schweiz. Eine Analyse der Dienst-Header dieser Mails hat allerdings gezeigt, dass sie von den Gebieten verschiedener Staaten aus und aller Wahrscheinlichkeit nach über ein Botnet aus verbreitet werden.

Bei der zweiten Spam-Versendung werden als Absender verschiedene Adressen von @orange.ch angegeben, deren Registrator das große Telekommunikationsunternehmen Orange ist, das ebenfalls in der Schweiz operiert. Diese Spam-Mails kommen als Benachrichtigungen über eingehende MMS daher; wie sich zeigte, sind die Absenderadressen auch in diesem Fall gefälscht.

In der dritten Spam-Schablone werden Adressen des Typs @gmx.ch eingesetzt – ein weiterer kostenloser E-Mail-Service, der in der Schweiz und Deutschland verfügbar ist. Die entsprechende Mail ist wie ein Bewerbungsschreiben aufgemacht und enthält einen als Lebenslauf getarnten schädlichen Anhang im doppelten Format .docx.zip. Die Experten weisen darauf hin, dass die Autoren dieser Mitteilung offensichtlich Schwierigkeiten mit der Darstellung der deutschen Umlaute haben, was an sich schon verdächtig ist. Bei einer Überprüfung der IP-Adressen des Absenders nach den Schwarzen Listen von Spamhaus stellte sich heraus, dass sie alle mit dem riesigen Spam-Botnet Cutwail in Verbindung gebracht werden.

Das einzige Ziel der neuen Spam-Kampagne von diesem Botnet aus ist die Verteilung des Bankers Tinba, alias Tinybanker, Illi und Zusy. Dieser Schädling ist schon zweieinhalb Jahre bekannt, und nachdem sein Quellcode durchgesickert war, lernte er DGA zu nutzen, um seine Steuerungszentren zu verbergen und eignete sich zudem ein paar weitere Schutzfunktionen an. Nach Angaben der Experten kommuniziert die derzeit in der Schweiz verbreitete Tinba-Version allerding mit ihren C&C, indem sie nur die im Code festgeschriebenen Domains nutzt. Zwei davon wurden bereits mittels Sinkholing ersetzt, die übrigen empfiehlt Abuse.ch zu blockieren, so wie auch den entsprechenden Adressblock 91.220.131.0/24 (AS44050, Sankt Petersburg).

Quelle:        Abuse.ch

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.