Foto mit Schädling im Anhang

Gefälschte Benachrichtigungen im Namen verschiedener Banken und Finanzinstitute, Buchungsservices für Hotels und Tickets, Kurierdienste und anderer Unternehmen werden von Spammern aktiv genutzt, um Schadprogramme zu verbreiten. Dabei wird das Arsenal der Cyberkriminellen fortwährend erweitert. So registrierten wir in der letzten Zeit unter anderem eine Reihe von Versendungen in englischer und deutscher Sprache, in denen Cyberkriminelle versuchen, die Schadprogramme als Fotografien und Bilder zu tarnen.

Im Oktober versendeten Online-Gangster im Namen von T-Mobile gefälschte Benachrichtigungen über den Erhalt einer MMS. Um dem Schreiben den Anstrich der Legitimität zu geben, wurde im Feld „From“ die offizielle Domain des Unternehmens angegeben, während die Mail in Wahrheit von einer anderen Adresse abgesendet wurde. Im Mail-Körper wurden die Telefonnummer des MMS-Absenders sowie allgemeine Informationen angeführt, die das Versenden und Empfangen von Multimedia-Mitteilungen betreffen.

Die an den Empfänger gerichtete „Foto MMS“ mit der Bezeichnung „23-10-2013 13_64_09.jpeg.exe“ befand sich nicht im Mail-Körper, sondern in dem angehängten Archiv „23-10-2013 43_69_10.zip“. In der Bezeichnung der Schaddatei benutzten die Betrüger den Namen des gängigen grafischen Dateiformats JPEG, um die Empfänger davon zu überzeugen, dass sich in dem Archiv tatsächlich ein Bild befindet. Der aufmerksame Nutzer wird jedoch bemerken, dass die tatsächliche Erweiterung der Datei .exe ist. Diese ausführbare Datei detektiert Kaspersky Lab als Backdoor.Win32.Androm. Dieser Bot ermöglicht es Cyberkriminellen, entfernt Befehle auf einem infizierten Computer auszuführen, beispielsweise andere Schadprogramme ohne Wissen des Inhabers zu laden und zu starten.

shcherbakova_pic1

Später, im November, missbrauchten Spammer den Namen des populären Foto- und Video-Sharing-Dienstes Instagram. Aus den gefälschten Benachrichtigungen, die im Namen eines Vertreters dieses Services versendet wurden, erfuhr der User, dass ein Foto von ihm auf Instagram hinterlegt wurde. Um den Schnappschuss sehen zu können, sollte der Mail-Empfänger das ZIP-Archiv öffnen, in dem sich als grafische Datei „Photo DIG9048599868.jpeg.exe“ getarnt das Schadprogramm Trojan.Win32.Neurevt verbarg. Dieser multifunktionale Bot stiehlt im Browser gespeicherte Daten (cookies und Passwörter), die auf Websites eingegebenen Benutzernamen und Kennwörter sowie Codes von Spielen. Überdies wird er benutzt, um verschiedene Programme auf den Computer zu laden und zu starten und um Botnetze für DDoS-Attacken zu organisieren. Eins der charakteristischen Merkmale des Bots ist die fortschrittliche Funktionalität zur Abwehr verschiedener Schutzlösungen. So ist er zum Beispiel in der Lage, den Start von Antiviren-Software und des Windows Update- Services zu blockieren und den User daran zu hindern, Web-Ressourcen von AV-Unternehmen zu besuchen.

shcherbakova_pic2

Einen anderen Trick der Online-Verbrecher, der nichts mit bekannten Unternehmen oder Services zu tun hat, registrierten wir im November. Das zu dieser schädlichen Versendung gehörende Schreiben war als private Korrespondenz aufgemacht, im Rahmen derer Freunde Fotografien austauschen. Im Betreff der Mail wurde der User aufgefordert, ein Bild anzuschauen – entweder das eigene oder das eines Freundes/einer Freundin – und im Mailkörper selbst gab es nur Smileys oder Lautmalerisches wie „hahaha“ zu sehen. Die Absenderadressen wurden automatisch generiert, obgleich sie Personennamen enthielten. Wie auch in anderen ähnlichen Versendungen war an die Mail ein Archiv mit einem „Foto“ angehängt, bei dem es sich tatsächlich um eine ausführbare Datei mit doppelter Erweiterung handelte. Kaspersky Lab detektiert diese Datei als Trojan-Downloader.Win32.Agent – ein Trojaner, der auf dem Computer des Opfers ein gefälschtes Antivirenprogramm installiert. Als Folge erscheinen auf dem befallenen Computer des Nutzers ständig aufpoppende Mitteilungen über die Entdeckung von Viren, für deren Entfernung der Anwender unbedingt die Vollversion des „Antivirus'“ kaufen müsse. Die Datei mit dem Fake-Antivirus wird von uns als Trojan-FakeAV.Win32.SmartFortress2012.ambh detektiert.

Erwähnenswert ist, dass die Schaddatei im Archiv die Erweiterung.scr hat, die üblicherweise für Windows-Bildschirmschoner steht. Dieser Dateityp gehört ebenso wie die Erweiterung .exe zu den ausführbaren Dateien und kann von Spammern zur Installation von Schadprogrammen benutzt werden.

shcherbakova_pic3

Sich Zugriff auf den Computer des Opfers zu verschaffen, ist eines der Hauptziele von Verbrechern, die schädliche Mails versenden, und um dieses Ziel zu erreichen, setzen die Spammer häufig auf die Neugier und Unvorsichtigkeit der User. Ein infizierter Computer ist nicht nur eine Quelle wertvoller persönlicher Informationen, sondern kann auch bei der Organisation von Attacken auf andere Internetnutzer oder große Organisationen und Unternehmen eingesetzt werden. Zur Vermeidung möglicher Unannehmlichkeiten tragen erhöhte Aufmerksamkeit und Antiviren-Lösungen bei.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.