News

Foto mit Schädling im Anhang

Gefälschte Benachrichtigungen im Namen verschiedener Banken und Finanzinstitute, Buchungsservices für Hotels und Tickets, Kurierdienste und anderer Unternehmen werden von Spammern aktiv genutzt, um Schadprogramme zu verbreiten. Dabei wird das Arsenal der Cyberkriminellen fortwährend erweitert. So registrierten wir in der letzten Zeit unter anderem eine Reihe von Versendungen in englischer und deutscher Sprache, in denen Cyberkriminelle versuchen, die Schadprogramme als Fotografien und Bilder zu tarnen.

Im Oktober versendeten Online-Gangster im Namen von T-Mobile gefälschte Benachrichtigungen über den Erhalt einer MMS. Um dem Schreiben den Anstrich der Legitimität zu geben, wurde im Feld „From“ die offizielle Domain des Unternehmens angegeben, während die Mail in Wahrheit von einer anderen Adresse abgesendet wurde. Im Mail-Körper wurden die Telefonnummer des MMS-Absenders sowie allgemeine Informationen angeführt, die das Versenden und Empfangen von Multimedia-Mitteilungen betreffen.

Die an den Empfänger gerichtete „Foto MMS“ mit der Bezeichnung „23-10-2013 13_64_09.jpeg.exe“ befand sich nicht im Mail-Körper, sondern in dem angehängten Archiv „23-10-2013 43_69_10.zip“. In der Bezeichnung der Schaddatei benutzten die Betrüger den Namen des gängigen grafischen Dateiformats JPEG, um die Empfänger davon zu überzeugen, dass sich in dem Archiv tatsächlich ein Bild befindet. Der aufmerksame Nutzer wird jedoch bemerken, dass die tatsächliche Erweiterung der Datei .exe ist. Diese ausführbare Datei detektiert Kaspersky Lab als Backdoor.Win32.Androm. Dieser Bot ermöglicht es Cyberkriminellen, entfernt Befehle auf einem infizierten Computer auszuführen, beispielsweise andere Schadprogramme ohne Wissen des Inhabers zu laden und zu starten.

shcherbakova_pic1

Später, im November, missbrauchten Spammer den Namen des populären Foto- und Video-Sharing-Dienstes Instagram. Aus den gefälschten Benachrichtigungen, die im Namen eines Vertreters dieses Services versendet wurden, erfuhr der User, dass ein Foto von ihm auf Instagram hinterlegt wurde. Um den Schnappschuss sehen zu können, sollte der Mail-Empfänger das ZIP-Archiv öffnen, in dem sich als grafische Datei „Photo DIG9048599868.jpeg.exe“ getarnt das Schadprogramm Trojan.Win32.Neurevt verbarg. Dieser multifunktionale Bot stiehlt im Browser gespeicherte Daten (cookies und Passwörter), die auf Websites eingegebenen Benutzernamen und Kennwörter sowie Codes von Spielen. Überdies wird er benutzt, um verschiedene Programme auf den Computer zu laden und zu starten und um Botnetze für DDoS-Attacken zu organisieren. Eins der charakteristischen Merkmale des Bots ist die fortschrittliche Funktionalität zur Abwehr verschiedener Schutzlösungen. So ist er zum Beispiel in der Lage, den Start von Antiviren-Software und des Windows Update- Services zu blockieren und den User daran zu hindern, Web-Ressourcen von AV-Unternehmen zu besuchen.

shcherbakova_pic2

Einen anderen Trick der Online-Verbrecher, der nichts mit bekannten Unternehmen oder Services zu tun hat, registrierten wir im November. Das zu dieser schädlichen Versendung gehörende Schreiben war als private Korrespondenz aufgemacht, im Rahmen derer Freunde Fotografien austauschen. Im Betreff der Mail wurde der User aufgefordert, ein Bild anzuschauen – entweder das eigene oder das eines Freundes/einer Freundin – und im Mailkörper selbst gab es nur Smileys oder Lautmalerisches wie „hahaha“ zu sehen. Die Absenderadressen wurden automatisch generiert, obgleich sie Personennamen enthielten. Wie auch in anderen ähnlichen Versendungen war an die Mail ein Archiv mit einem „Foto“ angehängt, bei dem es sich tatsächlich um eine ausführbare Datei mit doppelter Erweiterung handelte. Kaspersky Lab detektiert diese Datei als Trojan-Downloader.Win32.Agent – ein Trojaner, der auf dem Computer des Opfers ein gefälschtes Antivirenprogramm installiert. Als Folge erscheinen auf dem befallenen Computer des Nutzers ständig aufpoppende Mitteilungen über die Entdeckung von Viren, für deren Entfernung der Anwender unbedingt die Vollversion des „Antivirus'“ kaufen müsse. Die Datei mit dem Fake-Antivirus wird von uns als Trojan-FakeAV.Win32.SmartFortress2012.ambh detektiert.

Erwähnenswert ist, dass die Schaddatei im Archiv die Erweiterung.scr hat, die üblicherweise für Windows-Bildschirmschoner steht. Dieser Dateityp gehört ebenso wie die Erweiterung .exe zu den ausführbaren Dateien und kann von Spammern zur Installation von Schadprogrammen benutzt werden.

shcherbakova_pic3

Sich Zugriff auf den Computer des Opfers zu verschaffen, ist eines der Hauptziele von Verbrechern, die schädliche Mails versenden, und um dieses Ziel zu erreichen, setzen die Spammer häufig auf die Neugier und Unvorsichtigkeit der User. Ein infizierter Computer ist nicht nur eine Quelle wertvoller persönlicher Informationen, sondern kann auch bei der Organisation von Attacken auf andere Internetnutzer oder große Organisationen und Unternehmen eingesetzt werden. Zur Vermeidung möglicher Unannehmlichkeiten tragen erhöhte Aufmerksamkeit und Antiviren-Lösungen bei.

Foto mit Schädling im Anhang

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach