zurück zum Artikel

Vorsicht bei angeblicher Telekom-Onlinerechnung Update

Über täuschend echt nachgemachte Rechnungen der Telekom verbreiten derzeit Unbekannte speziell präparierte PDF-Dateien, die Windows-Systeme infizieren können. Die Mail unterscheidet sich nur in Details von einer echten Telekom-Abrechnung. Doch wer die angehängte PDF-Datei öffnet, riskiert, sein System mit Spionage-Software zu infizieren. Die angebliche Rechnung nutzt nämlich mindestens eine bekannte Schwachstelle im Adobe Reader aus, um Schad-Software aus dem Internet nachzuladen und zu installieren.

(Bild: Die Analyse in der Sandbox von Wepawet zeigt, was es mit der angeblichen Rechnung auf sich hat.)

Der Absender scheint korrekt, die Sprache ist fehlerfrei. selbst der Gruß des Leiters des Kundenservices zum Abschluss stimmt. Der beste Hinweis auf ein Fake ist die fehlende persönliche Ansprache: Statt "Guten Tag Herr Schmidt" heißt es nur allgemein "Sehr geehrte Damen und Herren", was bei Rechnungen eher ungewöhnlich ist.

Der bei der Schnellanalyse des PDFs in einer Sandbox[1] gefundene Exploit beruht auf einer Sicherheitslücke, die Adobe bereits 2010 geschlossen hat. Es ist aber nicht auszuschließen, dass die Trojaner-Autoren auch neuere Tricks im Repertoire haben. Der Exploit lädt von mehreren URLs Programme wie "menu.exe", "shadow.exe" beziehungsweise "favorites.exe" nach und startet diese. Sie modifizieren[2] dann diverse Systemeinstellungen, setzen sich dabei im System fest, lesen das Adressbuch aus und kontaktieren einen Command und Control Server – legen also typisches Botnetz-Client-Verhalten an den Tag.

Antiviren-Software tut sich schwer, den Anwender zu schützen: Laut Virustotal erkennen gerade mal 8 von 41 Scannern[3] den PDF-Exploit als solchen; verbreitete AV-Programme wie Avira, AVG, Kaspersky und Symantec gehören nicht dazu. Noch schlimmer ist es bei den nachgeladenen Programmen, wo gerade mal ein Scanner Verdacht schöpft. Lediglich Kaspersky[4] meldet kryptisch packed.win32.krap.it. Leider gibt es keine Dokumentation was das konkret bedeutet; in der Vergangenheit sprang die Signatur anscheinend auf Zeus-Online-Banking-Trojaner an. Ob eventuell beim Öffnen der PDF-Datei eine Verhaltensüberwachung misstrauisch wird und die Infektion unterbindet, konnten wir auf die Schnelle nicht testen.

Die Sandbox Anubis stuft das Risiko der nachgeladenen Programme als recht hoch ein.

Anwender sollten Software wie den Adobe Reader unbedingt immer auf dem neuesten Stand halten oder eventuell auch gleich eine der Alternativen verwenden[5]. Die sind zwar nicht grundsätzlich sicherer, aber Exploits, die auf den Adobe Reader zugeschnitten sind, funktionieren damit nicht. Und speziell auf Sumatra oder Foxit ausgerichtete Schädlinge haben immer noch Seltenheitswert.

Update: Manche Leser berichten, dass ihre Trojaner-Rechnungen auch eine namentliche Ansprache enthielten; darüber hinaus gibt es offenbar auch echte Telekom-Rechnungen, die mit "Sehr geehrte Kundin, sehr geehrter Kunde" eröffnen. Außerdem gab es bereits ähnliche Mail-Wellen mit angeblichen Vodafone-Rechnungen. (ju[6])


URL dieses Artikels:
http://www.heise.de/-1545909

Links in diesem Artikel:
[1] http://wepawet.iseclab.org/view.php?hash=db020f3026874c961d38a8465bb152fb&type=js#sec_network
[2] http://anubis.iseclab.org/?action=result&task_id=18cb82cae4a8ca34431da4e13761ead2e&format=html
[3] https://www.virustotal.com/file/c27e543f5c4539bce550feae05913e903ceef0deb0a35773b19bc4658ff8e9d4/analysis/1335187448/
[4] https://www.virustotal.com/file/2c9b7239fb6c1dc36c4774277ab84ae19f657402e26bfc45a96b9735ff4c60cb/analysis/1335188586/
[5] http://www.heise.de/download/windows/office/pdf/viewer-50001606011/?f=125es
[6] mailto:ju@ct.de