Menü
Update Security

Kriminelle locken mit gefälschten Rechnungen in die Virenfalle

Von
vorlesen Drucken Kommentare lesen 202 Beiträge

Wer den Anhang dieser Mail öffnet, bekommt statt teurer Sony-Hardware lediglich einen Trojaner geliefert.

Kriminelle verschicken derzeit im großen Stil gefälschte Bestellbestätigungen, die den Empfänger dazu verleiten sollen, die angehängte Malware auszuführen. Besonders perfide ist dabei, dass die Angreifer offenbar gestohlene Kundendaten von Onlineshops nutzen, um den Empfänger der Mail mit seinem echten Namen anzusprechen.

Die Kriminellen geben vor, dass der Mailempfänger bei einem Shop eine Bestellung in Höhe von mehreren hundert Euro aufgegeben hat. Um es den Spam-Filtern schwer zu machen, variiert der Name des Shops. In den heise Security vorliegenden Mails sollen die Mailempfänger angeblich bei comstern.de, nierle.de oder elektronikmax.de eingekauft haben. Die in der Mailsignatur angegebenen Kontaktdaten werden offenbar bunt zusammengewürfelt: In keinem der Fälle hat etwa die angegebene Postleitzahl zu dem Ort gepasst.

Nur 5 von 42 AV-Engines erkennen den Schädling anhand seiner Signatur.

Wer Bestellbestätigungen oder Rechnungen erhält, die er nicht zuordnen kann, sollte einen eventuell vorhandenen Dateianhang unter keinen Umständen öffnen. Denn auf den Virenscanner kann man sich in diesem Fall nicht verlassen: Die bei dieser Angriffswelle angehängte Datei Rechnungsdaten.zip (enthält Rechnungsdaten.exe) wurde in einem Test von heise Security nur von fünf von insgesamt 42 AV-Engines anhand ihrer Signatur erkannt – rund sieben Stunden, nachdem sie verschickt wurde. In diesem Fall ist eine gute Verhaltensüberwachung Gold wert. Bei dem Schädling handelt es sich anscheinend um eine Variation des ZeuS-Bots.

Explodiert beim Öffnen.

Übrigens sollte man nicht nur um Rechnungen im ZIP- oder EXE-Format einen Bogen machen: Es sind gefälschte Telekom- und Vodafone-Rechungen mit PDF-Anhang im Umlauf, die den Rechner über eine ältere Lücke im Adobe Reader zu infizieren versuchen. Auch mit Office-Dokumenten ist ein solcher Angriff vorstellbar.

Geld oder Daten: Die Malware bezeichnet sich selbst als "Windows-Verschlüsselungs Trojaner"

Update: Entgegen erster Vermutungen handelt es sich bei der Malware nicht um den ZeuS-Bot, sondern um einen mit dem BKA-Trojaner verwandten Lösegeld-Trojaner, der sich selbst als "Windows-Verschlüsselungs Trojaner" ausgibt. Er behauptet, den Festplatteninhalt verschlüsselt zu haben und fordert bis zu 100 Euro Lösegeld in Form einer Paysafecard ein. Da äußert fragwürdig ist, ob er der Trojaner den Rechner nach erfolgter Zahlung wieder freigibt, sollte man dieser Forderung auf keinen Fall nachgehen. Avira stellt eine Anleitung bereit, mit deren Hilfe man den Schädling entfernen können soll. (rei)