Pünktlich zu den Feiertagen haben sich die Cyber-Angreifer wieder eine dazu passende Masche einfallen lassen und verschicken aktuell massenhaft Spam E-Mails mit angeblichen Paketempfangsnachrichten. Ein Klick auf den Link führt jedoch zu bösartigem Programmcode.
So oder auch so ähnlich sehen die aktuell kursierenden E-Mails aus, die den Empfänger in die Schadcode-Falle locken wollen. Das Design ist farblich an das der Deutschen Post AG angelehnt und wird daher für viele Empfänger glaubwürdig erscheinen – auch wenn ein Logo gänzlich fehlt und die Sprache alles andere als fehlerfrei ist.
Hinter dem angebenden Link verbirgt sich selbstverständlich kein Postetikett sondern Schadcode, der auf den Rechner des Opfers geladen wird.
Der Besucher der URL erhält eine Datei, die durch ein PHP-Skript gesteuert ausgeliefert wird. Wenn ein Nutzer zu seiner IP Schadcode ausgeliefert bekommen hat, wird an diese IP kein zweites Mal eine Datei ausgeliefert.
Der Dateiname ist DeutschePost_ID672146.251.zip oder ähnlich. In diesem Archiv befindet sich der eigentliche Schadcode, eine ausführbare Datei – das Icon der Datei zeigt ein Textdokument, doch es handelt sich um eine .exe-Datei.
In den aktuellen Fällen, die die G DATA SecurityLabs untersucht haben, handelte es sich um Trojan.Generic.KDZ.11929 (Engine A) / Win32:Trojan-gen (Engine B). Der als vermeintliche Textdatei getarnte Schadcode hat vielfältige Funktionen. Hier ein Auszug:
Zum Zeitpunkt der Untersuchung war keine der vordefinierten IPs erreichbar. Der Schadcode hat demnach in diesem Moment keinerlei weiteren Instruktionen empfangen oder Dateien nachladen können. Einige der IPs sind den G DATA SecurityLabs jedoch schon als Malware-Lieferant bekannt und somit besteht kaum ein Zweifel daran, dass weiterer Schadcode nachgeladen werden sollte.
Die Angreifer können sowohl den initial ausgelieferten Schadcode und damit die anzusteuernden IP Adressen als auch die potentiell nachzuladenden Dateien jederzeit gegen beliebige andere Dateien austauschen und somit ihre Angriffsstrategie ändern.