Kaspersky warnt vor Malware-Kampagne mit Mahnungen

Peter Marwan,
SicherheitVirus

Kaspersky Lab hat eine aktuelle Cybercrime-Kampagne untersucht, mit der seit Ende 2012 deutsche Nutzer immer wieder mit ähnlichen Mustern mit gefälschten Mahnungen angegriffen werden. Ziel ist es, die Rechner der Empfänger mit einem Trojaner zu infizieren. Kaspersky Lab rät Anwendern vor allem bei Rechnungsmahnungen am 21. März und 4. April 2013 vorsichtig zu sein.

kasperskylab_logo_622px

Anfang März 2013 hat Kaspersky Lab eine E-Mail entdeckt, die über verschiedene Adressen versendet wurde, aber denselben PDF-Anhang enthielt. Die E-Mails waren in deutscher Sprache verfasst und wurden von zahlreichen deutschen IP-Adressen verbreitet – immer mit einer entsprechenden Referenz, die auf einen deutschen Absender schließen ließ.

In der E-Mail wird der Empfänger aufgefordert, eine ausstehende Rechnung zu begleichen. Die Kopie der angeblichen Rechnung ist als PDF-Anhang beigefügt. Öffnet der Anwender diesen jedoch wird sein Computer mit einem Trojaner infiziert. Dabei wird der Exploit “CVE-2010-0188” im Programm Adobe Acrobat Reader missbraucht.

Christian Funk, Senior Virus Analyst bei Kaspersky Lab (Bild: Kaspersky).
Christian Funk, Senior Virus Analyst bei Kaspersky Lab (Bild: Kaspersky).

Antivirensoftware wird die Entdeckung der Malware erschwert, da der Exploit unter zwei Lagen Javascript versteckt liegt. Wird das Schadprogramm auf dem Rechner aktiv, zeigt es die Meldung: “Die Datei ist beschädigt und kann nicht geöffnet werden”. Anschließend installiert sich das Schadprogramm in den temporären Dateien mit einem zufällig erstellten Namen und versucht sich mit der URL zeouk-gt.com zu verbinden.

Am 21. November 2012, am 4. Januar 2013 und am 21. Februar 2013 blockierte Kaspersky Lab eine große Anzahl an E-Mails, die einen sehr ähnlichen PDF-Anhang aufwiesen und das beschriebene Java-Skript enthielten. Kaspersky Lab geht davon aus, dass es sich um eine immer noch aktive Cyberkampagne handelt. Die Sicherheitsexperte rechnen damit, dass vor allem am 21. März und am 4. April wieder E-Mails mit gefährlichen Rechnungsmahnungen versandt werden.

“Wieder einmal macht ein Massenmailing die Runde, wieder einmal werden PDF-Dokumente als Vehikel zur Infektion genutzt. Adobes Dokumentenformat rangiert auf dem zweiten Platz hinter Java als meistgenutzte Plattform für Exploit-Codes. Daher sollten Updates schnellstmöglich nach Bereitstellung installiert werden”, so Christian Funk, Senior Virus Analyst bei Kaspersky Lab. “Zudem versuchen Cyberkriminelle vermehrt, durch lokalisierte Versionen, wie zum Beispiel in Mailings, ihre Glaubwürdigkeit zu erhöhen.”

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :

Adobe schließt 42 kritische Sicherheitslücken in Reader und Flash Player

Flash Player: Adobe patcht weitere gefährliche Sicherheitslücke

Flash Player: Adobe schließt 26 kritische Sicherheitslücken
Peter Marwan
Autor: Peter Marwan
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen