Malware-Spam

Schädling als Retourenlabel getarnt

Malware-Spammer verschicken Mails in fehlerfreiem Deutsch, die vorgeblich von der Deutschen Post stammen. Das vorgebliche Retourenlabel entpuppt sich jedoch als Trojanisches Pferd.

Schädling als Retourenlabel getarnt

© Eleven

Schädling als Retourenlabel getarnt

Online-Kriminelle setzen gerne auf bewährte Maschen, um Malware zu verbreiten, verfeinern diese jedoch mit der Zeit. Der Trend zu Malware-Spam mit regionalem Anstrich und in Landessprache hält weiter an. Jüngstes Beispiel ist eine Spam-Welle aus Italien, über die das Berliner Sicherheitsunternehmen Eleven in seinem Blog berichtet.

Die Spam-Kampagne begann Anfang der Woche mit scheinbar leeren Mails, die mit einem Betreff wie "mms:IMG12345678" und der gefälschten Absenderangabe Vodafone Italien verbreitet wurden. Ganz leer waren diese Mails jedoch nicht, denn es fehlte zwar der Text, doch eine angehängte ZIP-Datei war vorhanden. Darin steckte jedoch nicht, wie der Betreff suggerieren sollte, eine multimediale Nachricht, sondern ein Trojanisches Pferd.

Später nahm diese Spam-Welle richtig Fahrt auf. Der Großteil der Mails wurde in Italien versandt und war für deutsche Empfänger bestimmt. Der Betreff dieser Mail lautete "Retourenlabel zu Ihrer DHL Sendung 12345678" (die Nummern variieren). Der Text der Mails ist in fehlerfreiem Deutsch verfasst und entstammt offenkundig echten Mails der Deutschen Post, die hier auch als vorgetäuschter Absender herhalten musste.

Der Anhang "Ihre Retourenmarke.zip" enthält auf den ersten Blick eine PDF-Datei, doch die doppelte Dateiendung (.PDF.Exe) entlarvt die Datei als Programm, ein Trojanisches Pferd. Andere Mails mit dem gleichen Schädling haben ihn als "Pidgin Portable", einen beliebten Instant Messenger ausgegeben.

Diese Spam-Kampagne hat sich auf vier aufeinander folgende Wellen abnehmender Stärke vergeteilt und war im Wesentlichen innerhalb von vier Stunden durch. Die meisten dieser Mails kamen aus Italien, doch erhebliche Anteile auch aus der Türkei, Polen und Deutschland. Sie stammen aus einem Bot-Netz, das mit Schädlingen wie dem gerade verbreiteten aufgebaut wurde. Das bedeutet, ein Teil der Empfänger hat den Anhang geöffnet und so seinen PC infiziert. Diese verseuchten Rechner sind nun Teil des Bot-Netzes, das weitere Mails ähnlicher Art verbreitet, um zu wachsen.

Mehr zum Thema

Symbolbild für Internet-Sicherheit und Spionage
Nach Hacking-Team-Enthüllungen

Kritisches Flash Player Update als Download: Nach den Hacking-Team-Enthüllungen werden die aufgedeckten Sicherheitslücken bereits ausgenutzt.
Flash-Lücke entdeckt
Hacking Team Leak

Der Hackerangriff auf die italienische IT-Firma Hacking Team bringt weitere schwere Sicherheitslücken in Adobe Flash ans Tageslicht.
Firefox - Flash Player Block
Mozilla und Facebook reagieren auf neue Exploits

Mozilla reagiert auf die jüngst aufgedeckten Zero-Day-Lücken in Adobes Flash Player. Im Browser Firefox wird das Flash-Plugin vorerst per…
Spam-Mails
Betrug per E-Mail

Eine vermeintliche E-Mail von Amazon führt zur Katastrophe: Ein Video zeigt, wie schnell unachtsame Internet-Nutzer Phishing-Mails zum Opfer fallen…
E-Mails am PC: nicht immer sicher!
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!