Mahnung: Vorsicht beim Öffnen von Rechnungen am 21. März

Am vierten März stellten wir fest, dass unser Produkt Linux Mail Security eine große Anzahl von ungewöhnlichen Mitteilungen blockiert. Alle Mails enthielten ein und denselben Anhang im Format PDF (MD5: 97b720519aefa00da58026f03d818251), allerdings wurden sie von unterschiedlichen E-Mail-Adressen verschickt.

Die E-Mails waren in deutscher Sprache verfasst, und ein großer Teil von ihnen stammte von deutschen IP-Adressen. Die untenstehende Karte zeigt die geografische Verteilung dieser Adressen:

Die im Header der Mitteilungen angezeigten Computernamen lauteten etwa Andreas-PC oder Kerstin-Laptop (Namen geändert). Das zeugt davon, dass die Mails von Heimcomputern deutscher Anwender versendet wurden.
Hier ein Beispiel einer solchen Mail:

Beispiel-Mail

Die Namen der angehängten PDF-Dateien waren nach folgendem Muster aufgebaut Mahnung Name des Empfängers.pdf. Diese Schaddateien enthalten ein Exploit zu der Sicherheitslücke CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). Sie wurden mit Hilfe der Technologie Kaspersky ZETA Shield blockiert und als Exploit.JS.CVE-2010-0188.e detektiert. Es ist nicht einfach, das Exploit zu erkennen, da es unter zwei JavaScript-Ebenen verborgen ist.

Erste Javascript-Ebene

Zweite Javascript-Ebene

Entschlüsselter Shell-Code

Die zweite Ebene ist dem JavaScript sehr ähnlich, das die im letzten Jahr entdeckten Exploits verwendeten, die dem Exploit-Pack BlackHole hinzugefügt wurden. Bei erfolgreichem Einsatz des Exploits wird eine ausführbare Datei mit der Adresse seodirect-proxy.com/adobe-update.exe geladen.

Das so geladene Schadprogramm (MD5: 3772e3c2945e472247241ac27fbf5a16) wird von den Produkten von Kaspersky Lab als Trojan.Win32.Yakes.cngh detektiert. Es enthält Textzeilen in italienischer Sprache (lastoriasiamo, famiglia, badalamenti, impastato), die möglicherweise einen Bezug zur Mafia haben. Es gibt zudem folgende Informationen zu seiner Version preis:

Offensichtlich steht BTP in diesem Fall für italienische Staatsanleihen und Bund für deutsche Staatsanleihen; Spread BTP/Bund ist eine Größe, die den Unterschied in der Rendite zwischen den einen und den anderen ausdrückt.

Beim Start des Schadprogramms wird folgende Fehlermeldung ausgegeben:

Daraufhin installiert sie sich im temporären Verzeichnis unter einem zufällig gewählten Namen (z.B. vlsnekunrn.pre) und versucht eine Verbindung zu zeouk-gt.com herzustellen.

Vergangenheit

Bei Durchsicht der Daten über frühere Infektionen stellten wir fest, dass analoge Versendungen in der Vergangenheit jeweils am 4. und 21. eines Monats verschickt wurden.

Februar 2013

Am 21. Februar blockierten wir eine große Anzahl von E-Mails, die sehr ähnliche Anhänge im Format PDF enthielten. In diesem Fall enthielten die Namen der angehängten Dateien das Wort Rechnung und ein Datum (z.B. Rechnung_201302.pdf oder 2013_02rechnung.pdf). Die Absendercomputer befanden sich in den unterschiedlichsten Ländern, unter anderem in Südafrika, den USA, Australien und Japan. Dieses Mal wurden die im Header angezeigten Computernamen nach dem Zufallsprinzip zusammengestellt (wie z.B. ydopsgf und bxahwdkw). Interessant ist, dass in den Mitteilungsheadern auch Links auf die Domain zeus3.hostwaycloud.com enthalten waren.

Der dechiffrierte Code dieses Exploits in JavaScript war fast identisch mit dem oben gezeigten Beispiel, allerdings wurde das Schadprogramm von mehreren URL-Adressen geladen:

allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe

corcagnani.de/host.exe

kkc-hannover.de/modules/mod_search/helper.exe

capital-success.de/pg/helper.exe

Januar 2013

In der Versendung vom 4. Januar hieß die Schaddatei Rechnung201301.pdf und wurde von den folgenden URL geladen:

kohnle-gros.de/css/styleneu.exe

fairdealshop.co.uk/modules/mod_newsflash/helper.exe

emct.org.uk/downloads/server-stats.exe

November 2012

In der Versendung vom 21. November hieß die schädliche Datei RECHNUNG000201211.pdf und wurde von den folgenden Adressen geladen:

rocketmou.se/stuff/corduroyshop/corduroyshop.exe

coachplay.co.il/mapa/images/mapa.exe

Zukunft

Allem Anschein nach haben wir es hier mit einer hervorragend organisierten Kampagne zu tun, die auch in Zukunft weiterlaufen wird. Daher seien Sie besonders vorsichtig, wenn Sie am 21. März oder 4. April Mahnungen oder Rechnungen erhalten. Allerdings: Die Autoren können natürlich auch jederzeit das Datum ändern, also seien Sie auch an anderen Tagen immer wach

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.