Malware-Spam

Falsche Rechnungs-Mails mit Malware-Link

Cyberkriminelle verbreiten derzeit massenhaft Spam-Mails verbreitet, die als Telefonrechnungen oder Bank-Mitteilung getarnt sind. Darin enthaltene Links führen zum Download eines Trojanischen Pferds.

Eine neue Spam-Welle sorgt für Unruhe und unsichere PCs.

© Frank Ziemann

Eine neue Spam-Welle sorgt für Unruhe und unsichere PCs.

Im letzten Jahr wurde viel Malware per E-Mail verbreitet, indem vorgebliche Rechnungen, Mahnungen oder Buchungsbestätigungen mit Anhang verschickt wurden. Inzwischen grassiert eine neue Masche. Die Mails kommen als Telefon- oder Mobilfunkrechnung der Anbieter Telekom oder Vodafone, zuweilen auch als Kreditzusage oder Transaktionsmitteilung der Sparkasse oder Volksbank.

Neben gefälschten Absenderangaben fällt dem aufmerksamen Empfänger auf, dass es keinen Anhang gibt, obwohl Betreff und Mail-Text auf einen solchen hinweisen. Stattdessen ist ein Link enthalten, über den man eine PDF-Datei mit der Rechnung herunter laden soll. Diese Links führen in aller Regel zu Unterverzeichnissen auf russischen Domains und lösen bei Aufruf automatisch den Download einer ZIP-Datei aus.

Bis dahin ist noch nichts passiert, das eine unmittelbare Gefahr darstellen würde. In dem ZIP-Archiv steckt jedoch eine EXE-Datei, ein Trojanisches Pferd. Wer sich auf die Suche nach der heruntergeladenen ZIP-Datei macht, ist nur noch zwei bis drei Mausklicks von einer Verseuchung des Windows-Rechners entfernt. Der Schädling aus der ZIP-Datei lädt weitere Malware aus dem Internet herunter und verwandelt den PC in eine fremdgesteuerte Spam-Schleuder. Er ist als Teil eins Bot-Netzes unter der Kontrolle der Online-Kriminalität.Die Deutsche Telekom weist auf ihrer Website auf die schädlichen Spam-Mails hin, spricht von Phishing-Mails. Zur Unterscheidung falscher von echten Telekom-Rechnungen gibt Bernd Eßer, Leiter des Cyber Emergency Response Teams (CERT) der Telekom, ein paar Tipps. Er betont, dass echte Rechnungs-Mail im Betreff stets die korrekte Buchungsnummer des Kunden enthielten. Außerdem würden Privatkunden mit ihrem Namen angesprochen und nicht mit "Lieber Telekom-Kunde". Eine echte Telekom-Rechnung enthält eine PDF-Datei als Anhang, die nicht in einem ZIP-Archiv steckt.

Wer sich darauf verlässt, dass sein Virenscanner den Schädling in der ZIP-Datei erkennt und blockiert, wird meist enttäuscht. Die zum Teil in den Mails enthaltenen Fußzeilen, die auf eine Virenprüfung durch eine namhafte Antivirus-Software verweisen, sind gefälscht. Die auf die beschriebene Weise verbreiteten Schädlinge werden zunächst nur durch wenige Antivirusprogramme erkannt. Die Täter ändern auch die Dateien, die hinter den Download-Links stecken, teilweise mehrmals am Tag, damit die Entdeckung durch Antivirus-Software gering bleibt.

Mehr zum Thema

Hacker schicken gefäschte Rechnungen mit Malware.