„Zeus“-Update für AV-Produkte

In der vergangenen Woche deckte Kaspersky Lab eine massenhafte Versendung von Phishing-Mails auf, die im Namen führender Antiviren-Hersteller verfasst worden waren. In den von uns entdeckten Mitteilungen wurden die Namen der Produkte und Services von Kaspersky Lab, McAfee, ESET NOD32 und vielen anderen genannt.

Der Text und die allgemeine Aufmachung der Briefe jeder Versendung waren nach ein und derselben Schablone erstellt und unterschieden sich nur im Absendernamen und im Namen der im Betreff erwähnten Antiviren-Lösung. In ihren Mitteilungen boten die Cyberkriminellen den Empfängern ein wichtiges Sicherheitsupdate für ihren Antivirus an, das sie vor einem neuen, durchs Internet marodierenden Schädling schützen würde. Zu diesem Zweck müssten sie lediglich das an die Mail angehängte ZIP-Archiv öffnen und die ausführbare Datei starten. Das baten die Cyberkriminellen aber bitteschön schnell zu tun, bevor bei dem Empfänger ein berechtigtes Misstrauen bezüglich des wahren Autors des Schreibens und hinsichtlich des Inhalts aufkommen konnte.

kostin_zeus1

Beispiel für Phishing-Mails dieser Art

Allerdings sollte schon allein der Name der angehängten Datei ausreichen, um den Empfänger innhalten und bei ihm den Verdacht aufkommen zu lassen, dass hier irgendetwas nicht stimmt, denn in der Dateibezeichnung sind viel zu viele Ziffern und es liegt auf der Hand, dass sie willkürlich generiert wurde.

kostin_zeus2

In Wirklichkeit befindet sich in dem angehängten Archiv ein Schadprogramm, das von Kaspersky Lab als Trojan-Spy.Win32.Zbot.qsjm detektiert wird. Dieser Trojaner gehört zu der berühmten Familie Zeus/Zbot und ist dazu bestimmt, vertrauliche Anwenderdaten zu stehlen, in erster Linie finanzielle. Der Schädling ist in der Lage, den Inhalt der Seiten von Bankwebsites zu modifizieren, indem er dort schädliche Skripte einschleust, um auf diese Weise an die Authentifizierungsinformationen zu gelangen (Benutzername, Kennwort, Sicherheitscodes). Ebenfalls mit dem Ziel, vertrauliche Daten zu stehlen, kann Trojan-Spy.Win32.Zbot.qsjm Screenshots (und sogar Videos) vom Bildschirm aufnehmen, die Tastaturanschläge protokollieren und vieles mehr. Darüber hinaus zeichnet sich der Trojaner dadurch aus, dass er nicht mit einem vorher festgelegten Steuerungszentrum kommuniziert, um Befehle und die Konfigurationsdatei entgegenzunehmen, sondern ein P2P-Protokoll benutzt, um die nötigen Informationen von anderen infizierten Rechnern zu erhalten.

Hier noch einige weitere Beispiele für Mails aus den von uns entdeckten Versendungen mit schädlichen Anhängen:

kostin_zeus3

Die Betreffzeilen wurden nach ein und derselben Schablone ausgefüllt, die Cyberkriminellen hinter dieser Kampagne ändern lediglich die Namen der Antiviren-Lösungen. Der Versand der Mails erfolgt von gehackten E-Mail-Accounts realer Personen, deren Computer offensichtlich mit einem Schadprogramm infiziert und Teil eines Botnetzes sind.

In diesem Zusammenhang weisen wird darauf hin, dass kein AV-Unternehmen, das etwas auf sich hält, seinen Nutzern jemals ein Patch für seine Produkte oder ein Update der Antiviren-Datenbanken als ZIP-Archiv via E-Mail schicken würde. Wir empfehlen vielmehr, niemals irgendeine Datei in einem Mail-Anhang zu öffnen, wenn sie nicht erwartet wird und der Absender unbekannt ist.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.