Menü
Security

Trojaner-Infektion: Vorsicht vor gefälschten WeTransfer-Mails

Aktuell versenden Kriminelle Mails unter dem Deckmantel des Filehosting-Dienstes WeTransfer. Hinter dem Download-Link verbirgt sich ein Computer-Schädling.

vorlesen Drucken Kommentare lesen 24 Beiträge

(Bild: dpa, Jan-Philipp Strobel)

Wer dieser Tage eine E-Mail im Namen des Filehosting-Dienstes WeTransfer erhält, sollte die Nachricht genauestens unter die Lupe nehmen: Derzeit sind gezielt gefälschte E-Mails in Umlauf.

Wer auf den Download-Link innerhalb der auf den ersten Blick legitim wirkenden Mail klickt, lädt ein Zip-Archiv mit JavaScript-Dateien herunter. Öffnet man eine davon nach dem Entpacken, fängt man sich einen Computer-Schädling ein.

Über den Filehosting-Dienst WeTransfer kann man große Dateien, die den Anhang einer E-Mail sprengen, mit Freunden teilen. So können etwa Fotografen Fotos im RAW-Format oder Videos an Kunden verschicken. Dafür lädt man Dateien bei WeTransfer hoch und gibt die E-Mail-Adressen der Kunden ein, die darauf Zugriff haben sollen. Anschließend erhalten diese eine E-Mail vom Filehosting-Dienst und können die Dateien über einen Download-Link herunterladen.

Damit die Empfänger einen Anhaltspunkt haben von wem die Daten kommen, kann man im Formular von WeTransfer eine beliebige E-Mail-Adresse angeben; diese taucht dann in der Betreffzeile auf.

Uns erreichte heute eine derartige Mail mit dem Betreff „Christina.Markthaler@heise.de has sent you a file via WeTransfer“. Das wirkt erst mal glaubhaft, denn WeTransfer formuliert die Betreffzeile nach dem gleichen Muster. Auch optisch sieht die gefälschte Nachricht nahezu 1:1 wie eine legitime Mail von WeTransfer aus. Durch die Domain des Absenders noreply@wetransfer.com wirkt die Nachricht noch glaubhafter.

Stutzig machte uns aber, dass hier gar keine Christina Markthaler arbeitet. Auch der Download-Link ist verdächtig, denn er verweist nicht auf die Domain von WeTransfer.

Wer also aktuell eine E-Mail von WeTransfer erhält, sollte die E-Mail-Adresse im Betreff und den Download-Link prüfen. Für Letzteres reicht es in der Regel aus, in einem E-Mail-Client oder Webbrowser mit der Maus ohne zu Klicken über dem Link zu verharren; die Ziel-Adresse taucht dann in der unteren Zeile der jeweiligen Anwendung auf.

Wir haben die Datei heruntergeladen und in einer virtuellen Maschine analysiert. In dem Zip-Archiv namens Scanned Documents.zip befinden sich in unserem Fall drei JavaScript-Dateien. Nach der Ausführung laden diese den eigentlichen Schädling herunter, wie eine Sandbox-Analyse zeigte. Dabei könnte es sich um einen Banking-Trojaner handeln, der es auf Windows-Computer abgesehen hat.

Der Eingang einer derartigen E-Mail ist noch nicht gefährlich und es sind mehrere vom Opfer ausgehende Schritte für eine erfolgreiche Infektion notwendig. Gefährlich dabei ist jedoch, dass Windows JavaScript nach einem Doppelkick ohne UAC-Nachfrage oder ähnliches umgehend ausführt.

(des)