Malware-Spam

Arbeitsteilung im Bot-Netz

Mails mit vorgeblichen Rechnungen oder Mahnungen sowie Malware im Anhang werden über Bot-Netze verschickt. Dabei kommt es offenbar zuweilen zu gewissen Unregelmäßigkeiten bei der Umstellung auf eine neue Zielgruppe.

Botnetze haben Probleme bei der Umstellung auf eine neue Zielgruppe.

© Screenshot: Eleven

Botnetze haben Probleme bei der Umstellung auf eine neue Zielgruppe.

Auch in dieser Woche versenden Online-Kriminelle wieder Malware-Spam, getarnt als Rechnungen, Mahnungen oder auch vermeintliche MMS. Zum Versand werden verseuchte PCs missbraucht, die Teil eines Bot-Netzes sind. Wie das Berliner Sicherheitsunternehmen Eleven beobachten konnte, haben die Botnetz-Betreiber gelegentlich Schwierigkeiten, auf eine neue Zielgruppe umzuschalten.

Die durch Eleven abgefangenen Mails an deutsche Zieladressen zeigen, dass die Spam-Welle zunächst mit Mails begonnen hat, die vorgeblich durch Vodafone Italien versandt wurden. Dabei handelte es sich um eine vorgebliche Umsetzung einer MMS als Mail. Dann folgten Mails mit dem Absender der niederländische Autozeitung "Autoweek" mit einem Betreff in holländischer Sprache. Beides kann wohl kaum für deutsche Empfänger gedacht gewesen sein.

Bei Spam-Versand über Bot-Netze erhalten die einzelnen Bots, also infizierte Rechner, die zu versendenden Mails als Baukasten. Sie bekommen eine Liste mit Ziel-Adressen, ein Mail-Grundgerüst (Template) sowie den virulenten Anhang. Läuft alles wie vorgesehen, passen diese Elemente in den letztlich verschickten Mails auch zusammen. Doch das klappt offenbar nicht immer.

Wie Eleven feststellen konnte, folgten nach den italienischen und niederländischen Mails tatsächlich solche in deutscher Sprache und Aufmachung. Als vorgetäuschter Absender diente nunmehr der Weltbild Verlag mit der Adresse "info-norply@weltbild.de". In den Mails ging es allerdings um die Bestätigung eines vorgeblich bei eBay erworbenen Reisegutscheins des Anbieters Roomnight. Ein Zusammenhang mit dem Weltbild Verlag als Mail-Versender erschließt sich nicht. Der Link in der Mail führt zur echten Website der Firma Roomnight, wo man inzwischen eine Warnmeldung vor Malware-Mails findet.

Der Anhang dieser Mails besteht regelmäßig aus einer ZIP-Datei. Wer sie per Doppelklick öffnet, ist nur einen weiteren Doppelklick davon entfernt, den Schädling auszuführen und damit seinen Rechner ebenfalls in das Bot-Netz einzureihen. Wenn ein aktuelles Antivirusprogramm nicht spätestens an dieser Stelle eingreift, hilft es auch wenig, wenn der Schädling in einer verschachtelten ZIP-Datei steckt, wie dies seit einiger Zeit üblich ist.

Der ganze Vorgang bestätigt den seit einiger Zeit zu beobachtenden Trend zu lokalisierten Spam-Wellen. Dazu sind Kenntnisse über die jeweiligen Gegebenheiten in den einzelnen Ländern erforderlich. Die Täter müssen also zumindest Helfer deutscher Herkunft haben. Die Mails in dieser Welle kamen vorwiegend aus Polen (16 Prozent) und Italien (neun Prozent), aber auch aus Deutschland (sechs Prozent). Ein Bot-Netz aus über Europa verteilten Rechnern kann man zwar in Prinzip aus jedem Land dieser Welt steuern, doch liegt die Vermutung nahe, dass auch die Hinterleute in Europa ansässig sein könnten.

Mehr zum Thema

Kim Schmitz: Der Megaupload-Gründer will einen Lavabit-Nachfolger starten.
Kim Dotcoms Lavabit-Nachfolger

Nachdem Lavatbit offline ging, meldet sich Megaupload-Gründer Kim "Dotcom" Schmitz. Er will in die Fußstapfen des E-Mail-Anbieters von Edward…
AOL gab am Montag bekannt, Opfer eines Hackerangriffs geworden zu sein.
Massenhaft gefälschte E-Mails

Der Internetkonzern AOL meldet, Opfer eines Hackerangriffs geworden zu sein. Von den Nutzerkonten sollen unzählige gefälschte E-Mails verschickt…
PGP für E-Mails: Yahoo will bei dem Verschlüsselungs-Plugin mit Google zusammenarbeiten.
Sicherheit

Yahoo hat auf der Black Hat 2014 angekündigt, E-Mails mit PGP-basierter Ende-zu-Ende-Verschlüsselung zu versehen. Dazu will Yahoo mit Google…
Cleveres E-Mail-Management
Heftverkauf gestoppt

Die Stiftung Warentest musste den Verkauf des Februar-Hefts stoppen. Der Grund sind peinliche Fehler beim Vergleich von E-Mail-Anbietern.
Screenshot von Amazon-Fake-Webseite
Lastschriftmandat bestätigen

Es kursieren vermeintliche Amazon-E-Mails, die täuschend echt wirken. Es wird um eine Bestätigung des Lastschriftmandats gebeten: Es handelt sich um…