Spam

goo.gl: Mails mit Short-Links verbreiten Malware

In den letzten Tagen sind Spam-Mails verschickt worden, die keinerlei sinnhaften Text enthalten, jedoch Kurz-URLs des Google-Dienstes goo.gl. Diese führen zu präparierten Websites, auf denen das Exploit-Kit BlackHole installiert ist. Es schleust über Sicherheitslücken im Benutzerrechner schädliche Programme ein.

News
VG Wort Pixel
Mails mit goo.gl Links verbreiten Malware
Mails mit goo.gl Links verbreiten Malware
© Frank Ziemann

Nicht zum ersten Mal sind in den Postfächern auch deutscher Internet-Nutzer Spam-Mails mit gefährlichen Links gelandet. Sie kommen vorgeblich etwa vom sozialen Netzwerk LinkedIn oder vom US-amerikanischen Better Business Bureau (BBB). Der kryptisch anmutende Inhalt besteht überwiegend aus sinnfreien Zeichenfolgen. Erkennbar sind lediglich Links auf goo.gl-URLs, Googles Kurz-URL-Dienst. Google leitet solche Aufrufe zunächst auf eine russische Seite weiter, die sogleich auf eine IP-Adresse in den USA weiterleitet. Auf diesem Rechner läuft das in letzter Zeit sehr beliebte Exploit-Kit BlackHole. Die aufgerufene URL erweckt den Eindruck, als würde eine Forendiskussionsseite aufgerufen. Tatsächlich analysiert der Server die Informationen, die er über den PC des Besuchers ermitteln kann. Er wählt dann Exploit-Code für eine Sicherheitslücke aus, die er ausgemacht hat.Das kann zum Beispiel Code sein, der eine alte Schwachstelle im Java-Plugin JRE ausnutzt (CVE-2010-0840). Je nach Konfiguration des Malware-Baukastens kann auch die seit März bekannte Lücke im Windows XP Hilfecenter (CVE-2010-1885, MS10-042) genutzt werden, um Malware einzuschleusen. Ist nichts Passendes dabei, veranlasst der Server den Download einer präparierten PDF-Datei. Diese nutzt die Libtiff-Schwachstelle (CVE-2010-0188) in älteren Versionen des Adobe Reader aus.Letztlich wird in allen Fällen, in denen der Angriff zum Erfolg führt, ein Trojanisches Pferd aus der Zbot-Familie herunter geladen und ausgeführt. Dieses spioniert Passwörter sowie andere persönliche Daten aus und kann auch weitere Malware nachladen.

19.3.2012 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Windows Update: Screenshot

Windows Update jetzt ausführen

Microsoft veröffentlicht Notfall-Patch - auch für Windows 10

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.

Symbolbild für Internet-Sicherheit und Spionage

Teslacrypt

Erpresser-Trojaner hat es auf Spielstände abgesehen

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…