News

Cutwail verteilt Tinba in deutschsprachigem Spam

Die Aktivisten des Schweizer IT-Sicherheitsprojekts Abuse.ch warnen vor drei parallelen schädlichen Versendungen, die Ende Januar in der Schweiz registriert wurden. Alle Spam-Mails werden in großer Auflage von den Adressen eines kostenlosen Schweizer E-Mail-Anbieters verbreitet (offensichtlich gefälscht), sind in deutscher Sprache verfasst und mit einem Anhang im .zip-Format versehen, in dem sich der Bank-Trojaner Tinba verbirgt.

Im ersten Fall fordern die Cyberkriminellen den Empfänger auf, ein von einem iPhone gesendetes Foto anzugucken. Als Absender werden dabei willkürliche Adressen von @bluewin.ch angegeben, einem der führenden E-Mail-Provider der Schweiz. Eine Analyse der Dienst-Header dieser Mails hat allerdings gezeigt, dass sie von den Gebieten verschiedener Staaten aus und aller Wahrscheinlichkeit nach über ein Botnet aus verbreitet werden.

Bei der zweiten Spam-Versendung werden als Absender verschiedene Adressen von @orange.ch angegeben, deren Registrator das große Telekommunikationsunternehmen Orange ist, das ebenfalls in der Schweiz operiert. Diese Spam-Mails kommen als Benachrichtigungen über eingehende MMS daher; wie sich zeigte, sind die Absenderadressen auch in diesem Fall gefälscht.

In der dritten Spam-Schablone werden Adressen des Typs @gmx.ch eingesetzt – ein weiterer kostenloser E-Mail-Service, der in der Schweiz und Deutschland verfügbar ist. Die entsprechende Mail ist wie ein Bewerbungsschreiben aufgemacht und enthält einen als Lebenslauf getarnten schädlichen Anhang im doppelten Format .docx.zip. Die Experten weisen darauf hin, dass die Autoren dieser Mitteilung offensichtlich Schwierigkeiten mit der Darstellung der deutschen Umlaute haben, was an sich schon verdächtig ist. Bei einer Überprüfung der IP-Adressen des Absenders nach den Schwarzen Listen von Spamhaus stellte sich heraus, dass sie alle mit dem riesigen Spam-Botnet Cutwail in Verbindung gebracht werden.

Das einzige Ziel der neuen Spam-Kampagne von diesem Botnet aus ist die Verteilung des Bankers Tinba, alias Tinybanker, Illi und Zusy. Dieser Schädling ist schon zweieinhalb Jahre bekannt, und nachdem sein Quellcode durchgesickert war, lernte er DGA zu nutzen, um seine Steuerungszentren zu verbergen und eignete sich zudem ein paar weitere Schutzfunktionen an. Nach Angaben der Experten kommuniziert die derzeit in der Schweiz verbreitete Tinba-Version allerding mit ihren C&C, indem sie nur die im Code festgeschriebenen Domains nutzt. Zwei davon wurden bereits mittels Sinkholing ersetzt, die übrigen empfiehlt Abuse.ch zu blockieren, so wie auch den entsprechenden Adressblock 91.220.131.0/24 (AS44050, Sankt Petersburg).

Quelle:        Abuse.ch

Cutwail verteilt Tinba in deutschsprachigem Spam

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach