Der Domain-Pool der Spammer

In jüngster Zeit haben wir in Spam-Mails häufig Links zu *.html Dateien mit völlig willkürlichen Namen festgestellt. Ein weiterer Trend ist, dass sich Cyberkriminelle nicht einmal mehr die Mühe machen, Domains für ihre schmutzigen Geschäfte zu registrieren – sie setzen ihren Schadcode einfach auf einen infizierten Host. „Einfach?“ könnte man fragen, aber unseren Beobachtungen zufolge scheint die Antwort traurigerweise tatsächlich „ja“ zu lauten.

So haben wir beispielsweise einige Hundert Mails eines bestimmten Typs gesammelt, in denen für Software-Onlineshops geworben wird. Ein kleiner Teil dieser Mails werden in der nachfolgenden Gif-Animation gezeigt.

Alle Samples fallen dadurch auf, dass sie farbig markierte Textpassagen bzw. Links enthalten, die den Anwender auf kompromittierte legitime Websites führen. Anhand der Links lässt sich ebenfalls erkennen, dass sich die Dateien direkt auf den Root-URLs und nicht – wie normalerweise üblich – in einem Unterverzeichnis einer angreifbaren Applikation befinden.

Wir können daraus schließen, dass die Eindringlinge über einen Schreibzugriff zumindest auf das Stammverzeichnis (wwwroot) der betroffenen Seiten verfügen – eine äußerst beunruhigende Tatsache. Es hat sich weiterhin herausgestellt, dass in vielen Fällen nicht nur die oben erwähnten Spam-Links auf den Servern der Opfer gespeichert waren, sondern zudem noch schädliche iFrames oder Javascript-Schnipsel in den Hauptinhalt der Seiten eingeschleust wurden.

Ein weiteres Sample von heute bestätigt einmal mehr, dass die Cyberkriminellen nicht eben sparsam mit den für ihre Zwecke missbrauchten Domains umgehen, sondern anscheinend einen ganzen Pool mit einer unbekannten Menge an Domains zur Verfügung haben. Die Animation unten zeigt eine Spam-Nachricht, in alle 12 der in dem E-Mail-Body angegebenen Links zu einer einzigen Website führen. Diese Seiten weisen in ihrem Root-Verzeichnis ebenfalls den von uns als ‚Trojan-Clicker.JS.Agent.*‘ identifizierten Schadcode auf.

Wenn Sie sich also nicht sicher sind, was passiert, verzichten Sie lieber darauf, diese Links aufzurufen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.