Neue ZeuS-Attacke vom Botnetz Cutwail

Experten warnen vor einer neuen Spam-Kampagne, die auf die Verbreitung des Bankentrojaners ZeuS abzielt. Zum gegenwärtigen Zeitpunkt haben die Cyberkriminellen bereits mehrere Versendungen im Namen der populären Webdienste Pinterest und Dropbox durchgeführt.

Nach Angaben von Dynamoo’s Blog enthalten die an die Nutzer von Pinterest gerichteten gefälschten Mitteilungen die Bitte, ein neues Mitglied willkommen zu heißen, mit dem der Anwender angeblich bei Facebook befreundet ist. Zu diesem Zweck wird dem potentiellen Opfer vorgeschlagen, auf den Button Visit Profile im Mail-Körper zu klicken. Bei Aktivierung dieses Links landet der Nutzer über einen Redirect auf einer gefälschten Download-Seite, wo ihm mitgeteilt wird, dass er seinen Webbrowser aktualisieren müsse. Doch anstelle eines Updates lädt das Opfer die trojanische Datei ieupdate.exe.

In den gefälschten Mails, die im Namen der Verwaltung von Dropbox verbreitet werden, wird der Empfänger unter verschiedenen Vorwänden aufgefordert, die Schaltfläche Reset Password zu betätigen („Passwort zurücksetzen“). Der entsprechende Link ruft nach Angaben von AppRiver die bereits bekannte Mitteilung über die veraltete Browser-Version hervor. Bei einem Klick auf ein beliebiges Objekt auf dieser Seite wird dieselbe ausführbare Datei, nämlich ieupdate.exe, auf den Computer des Opfers geladen. Laut Experten gehören die in dieser Spam-Kampagne verwendeten Links zu 54 verschiedenen Domains. Die als aktuelle Browserversion getarnte Schaddatei wird von der Website dynamooblog.ru geladen, die einen Tag vor Beginn der schädlichen Versendung registriert wurde. AppRiver weist darauf hin, dass der Name dieser Ressource an die Adresse des bekannten Sicherheits-Blogs blog.dynamoo.com erinnert, der die Anwender als erster vor der aktuellen Bedrohung warnte.

Einige weitere wichtige Details trugen die Experten von SecureWorks zu der laufenden Spam-Kampagne bei. Ihren Angaben zufolge erfolgt der Versand der schädlichen Mails vom Botnetz Pushdo/Cutwail aus, das häufig zur Aussaat von ZeuS genutzt wird. Der zu ladende Schädling wurde von SecureWorks als р2р-Modifikation eines Trojaners identifiziert, der unter dem Namen Gameover bekannt ist. Die Forscher weisen zudem darauf hin, dass die Cyberkriminellen anstelle von Blackhole – diesem unvermeidlichen Teil des Verbreitungsschemas von ZeuS – ein anderes bekanntes Exploit-Pack verwenden, und zwar Magnitude, alias Popads. Zu dieser Sammlung gehören Exploits zu den Sicherheitslücken CVE-2011-3402, CVE-2013-0633, CVE-2010-1423, CVE-2010-0886 und CVE-2010-0840. SecureWorks zählte 83 Domains, die mit der Aktivität von Magnitude im Rahmen der laufenden Spam-Kampagne in Zusammenhang gebracht werden.

Die Information über die Abberufung von Blackhole aus dem Verbreitungsschema von ZeuS wird indirekt durch die Daten von Trend Micro bestätigt, denn das Unternehmen hat innerhalb der zweiten und dritten Oktoberwoche nicht eine ernstzunehmende Spam-Kampagne entdeckt, die mit den Plattformen dieses Exploit-Packs in Verbindung stehen würde. Es ist durchaus möglich, dass der Abtritt von Blackhole direkt mit dem Arrest seines Autors zusammenhängt, über den Anfang Oktober berichtet wurde.

Quelle: secureworks

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.