Namenstrojaner im Anhang

Bei der Analyse von schädlichen Mitteilung aus dem Juni, die an die Kunden verschiedener Banken adressiert waren, entdeckten die Experten von Websense eine neue Besonderheit: Cyberkriminelle verbreiten neuerdings personalisierte Anhänge. Dabei ist der im Anhang genannte Name mit dem in Feld „To” angezeigten Namen identisch, also dem Namen des Empfängers, was nach Meinung der Experten auf die Verwendung eines automatischen Generators hinweist.

Eine dieser Spam-Versendungen wurde im Namen der Großbank Wells Fargo verschickt. Die schädlichen Mitteilungen waren überaus lakonisch und der Empfänger wurde ohne Umschweife aufgefordert, den personalisierten zip-Anhang zu öffnen, um sich so mit „wichtigen Dokumenten“ vertraut zu machen. Während des Angriffs blockierten die Schutzlösungen von Websense über 80.000 solcher Mails.

Die archivierte Payload verbarg sich in einer Datei mit doppelter Erweiterung – ein bekannter Trick von Cyberkriminellen, die Schädlinge verbreiten. Bei Aktivierung der Option „Erweiterung für registrierte Dateitypen ausblenden“ sah diese ausführbare Datei wie ein gewöhnliches PDF-Dokument aus und war sogar mit dem entsprechenden Icon ausgestattet. Der Inhalt der schädlichen Datei wurde als der Downloader Pony identifiziert – ein spezialisiertes Programm, das üblicherweise zum Download des bekannten Schädlings ZeuS eingesetzt wird. In diesem Fall lud Pony nach Aussage von Websense allerdings eine р2р-Modifikation dieses Trojaners auf den infizierten Rechner. Um seinen Traffic zu verschleiern, sendete Pony auch Anfragen an legitime Websites. Die Experten weisen darauf hin, dass eine Reihe von schädlichen Ressourcen, mit denen der Downloader kommunizierte, bereits deaktiviert ist.

Die zweite Welle gefährlicher Versendungen, die Mitte Juni registriert wurde, richtete sich gegen Anwender, die verschlüsselte Kanäle nutzen. Die schädlichen Mails, die im Namen eines gewissen Secure E-mail Message Center verschickt wurden, informierten den Empfänger über ein vertrauliches Schreiben, das angeblich an ihn gerichtet ist. Zum Lesen dieser Nachricht sollte der Empfänger die angehängte zip-Datei (mit Namen des Adressaten!) öffnen, die – um vertrauenswürdig zu wirken – passwortgeschützt war. Das Passwort für das Archiv gaben die Cyberkriminellen im Mail-Körper an, in der Hoffnung, auf diese Weise die Spam-Filter zu umgehen. Die trojanische Datei war auch in diesem Fall mit einem irreführenden Icon von Adobe Reader und einer zweifachen Erweiterung ausgestattet.

Eine weitere Variante von personalisierten Anhängen entdeckte Websense in Spam-Mails, die den Namen Trusteer missbrauchten – ein Anbieter von Schutzsoftware für den Bankensektor. In den schädlichen Mails wurde dem Empfänger angeboten, die neue Rapport-Version zu installieren – ein Produkt von Trusteer, das für die Neutralisierung von Bank-Schadprogrammen und für die Verhinderung nicht sanktionierter Transaktionen vorgesehen ist. Im Rahmen dieser Spam-Versendung blockierte Websense mehr als 36.000 solcher gefälschter Mitteilungen.

Das an die schädlichen Mails angehängte ZIP-Archiv war ebenfalls personalisiert und enthielt einen Trojaner, den Kaspersky Lab als Trojan-PSW.Win32.Tepfer.odtu detektiert.

Quelle: Websense

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.