Pünktlich zu den Feiertagen haben sich die Cyber-Angreifer wieder eine dazu passende Masche einfallen lassen und verschicken aktuell massenhaft Spam E-Mails mit angeblichen Paketempfangsnachrichten. Ein Klick auf den Link führt jedoch zu bösartigem Programmcode.
So oder auch so ähnlich sehen die aktuell kursierenden E-Mails aus, die den Empfänger in die Schadcode-Falle locken wollen. Das Design ist farblich an das der Deutschen Post AG angelehnt und wird daher für viele Empfänger glaubwürdig erscheinen – auch wenn ein Logo gänzlich fehlt und die Sprache alles andere als fehlerfrei ist.
Hinter dem angebenden Link verbirgt sich selbstverständlich kein Postetikett sondern Schadcode, der auf den Rechner des Opfers geladen wird.
Was passiert bei einem Klick?
Der Besucher der URL erhält eine Datei, die durch ein PHP-Skript gesteuert ausgeliefert wird. Wenn ein Nutzer zu seiner IP Schadcode ausgeliefert bekommen hat, wird an diese IP kein zweites Mal eine Datei ausgeliefert.
Der Dateiname ist DeutschePost_ID672146.251.zip oder ähnlich. In diesem Archiv befindet sich der eigentliche Schadcode, eine ausführbare Datei – das Icon der Datei zeigt ein Textdokument, doch es handelt sich um eine .exe-Datei.
Welcher Schadcode infiziert den Rechner?
In den aktuellen Fällen, die die G DATA SecurityLabs untersucht haben, handelte es sich um Trojan.Generic.KDZ.11929 (Engine A) / Win32:Trojan-gen (Engine B). Der als vermeintliche Textdatei getarnte Schadcode hat vielfältige Funktionen. Hier ein Auszug:
- Zunächst einmal öffnet er tatsächlich ein Textdokument, um dem Opfer vorzugaukeln, dass die angeklickte Datei wirklich eine Funktion hat. Die dort gemachten Angaben sind natürlich fiktiv.
- Er verändert Registry-Einträge so, dass er nach einem Neustart des Rechners wieder automatisch ausgeführt wird.
- Er versucht wiederholt eine Online-Verbindung zu einer vordefinierten Liste von IPs aufzunehmen, um von dort weitere Befehle zu empfangen, z.B. den Download weiterer schädlicher Dateien.
Zum Zeitpunkt der Untersuchung war keine der vordefinierten IPs erreichbar. Der Schadcode hat demnach in diesem Moment keinerlei weiteren Instruktionen empfangen oder Dateien nachladen können. Einige der IPs sind den G DATA SecurityLabs jedoch schon als Malware-Lieferant bekannt und somit besteht kaum ein Zweifel daran, dass weiterer Schadcode nachgeladen werden sollte.
Die Angreifer können sowohl den initial ausgelieferten Schadcode und damit die anzusteuernden IP Adressen als auch die potentiell nachzuladenden Dateien jederzeit gegen beliebige andere Dateien austauschen und somit ihre Angriffsstrategie ändern.
Wie kann man sich schützen?
- Benutzen Sie eine aktuelle und umfassende Sicherheitslösung mit einem Virenscanner, Firewall, Web- und Echtzeitschutz. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails ist ebenfalls sinnvoll.
- Das installierte Betriebssystem, der Browser und seine Komponenten sowie die installierte Sicherheitslösung sollten immer auf dem aktuellen Stand gehalten werden. Programm-Updates sollten umgehend installiert werden, um so bestehende Sicherheitslücken zu schließen.
- Lassen Sie sich die Dateierweiterungen in ihrem Microsoft Windows Betriebssystem anzeigen. Anleitungen für die verschiedenen Versionen und auch ein Fix-it gibt es auf der Microsoft Webseite Anzeigen oder Ausblenden von Dateierweiterungen im Windows-Explorer.
- Links und Dateianhänge in E-Mails und auch in sozialen Netzwerken sollten nicht unbedacht angeklickt werden. Die Dateien oder die Webseite könnten mit Schadcode verseucht sein. Wenn eine Nachricht eines Freundes merkwürdig erscheint, sollten Anwender sich rückversichern, ob diese echt ist.