Qhost vs. Banamex

Seit dem 19./20. Februar erhalten wir Nachrichten an unsere mexikanischen E-Mail-Adressen, die wie ganz normale Grußkarten aussehen.

Natürlich waren diese Mails gefakt. Die in den Mitteilungen enthaltenen Links leiteten den User auf eine völlig andere Site – sie verwiesen alle auf http://72.9.134.130/~rockybob/ (selbstverständlich haben wir den Link verfälscht).

Sobald der User diese Site öffnet, wird ein spezielles php-Skript ausgeführt, das ein Schadprogramm mit der Bezeichnung TarjetasNico.exe von einer anderen Seite lädt.

Interessanterweise wird dem Anwender auf der Site, die den Trojaner lädt, mitgeteilt, dass die Seite innerhalb der letzte 48 gehackt wurde und daher Defekte auftreten können.

Das Icon für den Datei-Download ist eine exakte Kopie des Icon, das auch auf der Grußkarten-Seite verwendet wird:

Damit der User keinen Verdacht schöpft, haben die Kriminellen dafür gesorgt, dass der Internet Explorer eine echte Karte anzeigt. Der Text ist klassisches Social-Engineering – eine herzergreifende Abschieds-Nachricht. Der Inhalt zielt ganz eindeutig auf das Mitleid der Anwender ab, vermutlich mit dem Ziel, dass die Nachricht an Freunde und Verwandte weitergeleitet wird.

Wird die Schaddatei gestartet, so modifiziert sie die DNS-Einträge in der Host-Datei. Das führt dazu, dass die unten aufgeführten Sites umgeleitet werden:

www.banamex.com
banamex.com
banamex.com.mx
www.banamex.com.mx
www.bancanetempresarial.banamex.com.mx
bancanetempresarial.banamex.com.mx
www.bancanetempresarial.banamex.com
bancanetempresarial.banamex.com
boveda.banamex.com
www.boveda.banamex.com
www.boveda.banamex.com.mx
boveda.banamex.com.mx

Ein kurzer Blick auf die Liste macht deutlich, dass der Trojaner es auf Kunden der mexikanischen Banamex Bank abgesehen hat. Jeder User mit infiziertem Computer, der eine der oben genannten Seiten besuchen will, landet auf einer Schadwebsite. Kommt der Kunde der Aufforderung auf dieser gefälschten Bankseite nach und gibt seine Bankdaten ein, so gelangen diese in die Hände der Kriminellen.

An dem Angriff sind mehrere Länder beteiligt. Die Originalnachrichten kamen aus Holland, der Phishing-Server befindet sich in den USA und die Empfänger kamen entweder aus Mexiko oder hatten irgendeine Verbindung zu diesem Land. Die Analyse der Schaddatei selbst hat ergeben, dass sie in VisualBasic geschrieben wurde, und zwar von jemandem mit guten Spanischkenntnissen, der vielleicht selbst in Mexiko lebt.

Wir nahmen die Sache genauer unter die Lupe und stießen auf Folgendes:

Das ist die Site, die die Kriminellen zum Versand ihrer Nachrichten nutzen. Wie der Screenshot zeigt, kann diese Seite verwendet werden, um einen Mail-Text zu erstellen, HTML zu modifizieren, Empfänger, Adressen und Zahl der Empfänger festzulegen und auch um Mitteilungen mit Anhängen zu versenden. Ein nettes kleines Tool.

Beim Schreiben dieses Blogs waren die Seiten noch online und nur 3 Antivirus-Produkte erkannten diese neue Bedrohung. Kaspersky Lab klassifiziert das Schadprogramm als Trojan.Win32.Qhost.aha. Unser Rat an die User lautet wie immer: Seien Sie vorsichtig und tappen Sie den Kriminellen nicht in die Falle – insbesondere, wenn Sie Banamex-Kunde sind.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.