Wir haben eine Spam-Kampagne beobachtet, bei der es sich um Phishing-Versuche handelt. Ziel dieser Kampagne sind derzeit vorwiegend Anwender aus Italien, und zwar vor allem Kunden der Bank „Gruppo Bancario Iccrea“. Ziel der Kampagne ist es, an Kreditkartendaten zu gelangen.

Ist das eingegebene Passwort korrekt, wird der in der Variable „orig“ enthaltene HTML-Code dekodiert, und es wird die folgende Phishing-Website angezeigt:

Die Urheber dieser Kampagne machen sich die Tatsache zunutze, dass mit Passwörtern gemeinhin eine gewisse Sicherheit assoziiert wird: Viele Leute halten passwortgeschützte Inhalte erst einmal für sicher. Die Angreifer nutzen diesen Irrglauben aus und führen die Leser der E-Mail so in die Irre.

Ein Artikel auf myonlinesecurity.co.uk berichteten über eine ähnliche Kampagne, bei der jedoch Dateianhänge mit Malware versendet wurden. Die Angreifer ködern mögliche Opfer mit Social-Engineering-Techniken, damit sie die Malware herunterladen und installieren. 

Neben der Social-Engineering-Methode nutzen die Angreifer auch technische Tricks. Der Dateianhang, eine RAR-Archivdatei, ist mit dem in der E-Mail genannten Passwort geschützt. Sicherheitspakete sind nicht in der Lage, passwortgeschützte Archivdateien zu scannen. Daher können die Dateien die Sicherheitskontrollen für E-Mails ungehindert umgehen, obwohl sie Malware enthalten. Zum Scannen des Inhalts wäre es erforderlich, die Datei automatisch zu entpacken und somit den Passwortschutz außer Kraft zu setzen. Diesen Vorgang gestattet kein normaler E-Mail-Client.

Der gefährliche Inhalt wird erst durch manuelles Entpacken der RAR-Archivdatei erkennbar: Es handelt sich um die Datei „NIKON-2013564-JPEG.scr“, welche von G Data Produkten als Trojan.GenericKD.1604689 erkannt wird. Die Dateiendung SCR wird von Windows als ausführbare Datei identifiziert. Der zweite Teil, vor der Dateiendung, JPEG, gaukelt dem Anwender vor, es handle sich um eine Bilddatei. 

Standardmäßig zeigt Windows nicht die echte Dateiendung an. Der Anwender sieht daher den Teil „.scr“ nicht; die zweite vermeintliche Dateiendung JPEG kann somit zur Täuschung genutzt werden. Ein weiteres Täuschungsmoment ist das Dateisymbol. Das Icon weist auf ein PDF-Dokument hin.

Die angehängte ausführbare Datei extrahiert eine zweite Binärdatei, die Datei viewer_update.exe, und führt diese aus. Diese EXE-Datei stellt eine Verbindung zum Internet her und lädt weitere Dateien herunter:

• hxxp://[GELÖSCHT]/images/gombos/13003UKc.ton
• hxxp://[GELÖSCHT]/wp-content/uploads/2014/03/13003UKc.ton

Bei diesen Websites handelt es sich offenbar um ehemals legitime Websites, die manipuliert wurden. Die heruntergeladene Datei 13003UKc.ton ist ein verschlüsselter Treiber, den wir als Generic.Trojan.Agent.BK identifizieren. Der verschlüsselte Treiber wird nach dem Herunterladen durch viewer_update.exe entschlüsselt und legt dann Malware aus der ZeuS-Familie, gespickt mit Necurs Rootkit-Funktionalität, auf dem Opfer-PC ab. G Data erkennt die hier benutzte Malware als Rootkit.Necurs.QC.

Das Verpacken von Malware in passwortgeschützte Archivdateien zum Umgehen von Virenscannern, die E-Mail-Programme überwachen, ist eigentlich nichts Neues. Diese Methode wurde im Jahr 2003 mit der Bagle-Familie bekannt. Ziel dieser Methode war es damals, die automatische Analyse der Dateien zu verhindern. Im Jahr 2003 dauerte es jedoch nicht lange, bis entsprechende Gegenmaßnahmen in Kraft gesetzt wurden. Es überrascht daher einigermaßen, dass Angreifer diese Strategie, deren Realisierung im Vergleich zu anderen Spam-Methoden zeitaufwändig ist, jetzt wieder aufgreifen. Außerdem behindert sie Analysen in keiner Weise. Die Schadcode-Dateien werden lediglich etwas später erkannt.

Da diese Art von Angriffen üblichen Sicherheitsmaßnahmen von E-Mail-Programmen besondere Schwierigkeiten bereitet, ist es umso wichtiger, ein umfassendes Sicherheitspaket einzusetzen und vor allem die Funktionsweise solcher Angriffe zu verstehen, um nicht in die Falle zu tappen!

• Vorsicht bei E-Mails von Ihnen unbekannten Absendern, Dienstleistern oder Unternehmen, mit denen Sie keine (Geschäfts-)Beziehungen unterhalten! Wenn eine E-Mail merkwürdig oder verdächtig erscheint, ignorieren und löschen Sie sie. Öffnen Sie unter keinen Umständen Dateianhänge und klicken Sie niemals auf dort angegebene Links.
• Beantworten Sie niemals Spam-E-Mails. Eine Antwort informiert die Betrüger lediglich darüber, dass die verwendete Adresse wirklich existiert.
• Wenn Sie feststellen, dass einer Ihrer Kontakte ungewöhnliche E-Mails oder Instant-Messages versendet, teilen Sie ihm dies mit – idealerweise über ein anderes Kommunikationsmittel als das, über das die verdächtige Nachricht eintraf.
• Eine aktuelle, umfassende Sicherheitslösung mit Virenscanner, Firewall, Web- und Echtzeitschutz ist ein absolutes Muss! Ein Spam-Filter als Schutz vor ungewollten Spam-Mails ist natürlich ebenfalls sinnvoll.
• Legen Sie in Windows fest, dass die richtigen Dateiendungen angezeigt werden. Anweisungen für verschiedenen Versionen sowie ein „Fix it-Paket“ finden Sie auf der Website von Microsoft unter „Anzeigen oder Ausblenden von Dateierweiterungen im Windows-Explorer“.