Bösartige E-Mail-Kampagne wird selbst zum Köder

Originalartikel von Ivan Macalintal, Threat Research Manager

Kriminelle nutzen derzeit die Nachrichten über eine bösartige E-Mail-Kampagne, die als Köder die politischen Ereignisse in Tibet einsetzt, in einem separaten Angriff, um Systeme mit Malware zu infizieren.

Bislang haben die Sicherheitsforscher zwei solcher Kampagnen ausgemacht: Die eine weist laut Berichten einen gefälschten Absender auf. In den Nachrichten, die vorgeben, von Alienvault zu kommen, werden die Empfänger vor der erwähnten bösartigen Kampagne gewarnt. Klicken sie auf den enthaltenen Link, so werden sie auf eine Website geleitet, die JAVA_RHINO.AE herunterlädt.

Diese JavaScript-Datei nutzt eine Sicherheitslücke in Java Runtime Environment aus und legt eine weitere Schadsoftware ab. Eine andere Variante prüft erst das Betriebssystem auf dem betroffenen System, bevor die Datei dort abgelegt wird. Auf Windows-Systemen ist es TROJ_RHINO.AE, im Fall eines Mac-Betriebsystems ist es OSX_RHINO.AE. Beide Schädlinge verbinden sich mit einem Command & Control-Server. TROJ_RHINO.AE sendet Informationen wie Benutzername und Host-name.

Die zweite Kampagne tarnt sich als E-Mail von einem prominenten Tibetaner, der in New York lebt. Auch in diesem Fall werden die Empfänger vor bestimmten E-Mails gewarnt, die angeblich im Namen besagten Tibetaners kursieren. Die Mails haben einen Anhang namens TenTips.doc. Wie schon in der ersten Kampagne enthält die Datei einen Trojaner (TROJ_ARTIEF.FQ). Die Exploit-Datei zielt auf die Sicherheitslücke CVE-2010-3333 (RTF Stack Buffer Overflow Vulnerability), um die Datei BKDR_VISEL.FQ abzulegen.

Die Trend Micro Sicherheitsforscher recherchieren gerade, ob die beiden Kampagnen zusammenhängen und von derselben Gruppe gesteuert werden.

Cyberkriminelle nutzen eine ganze Reihe Social Engineering-Tricks. In der Vergangenheit gab es schon Warnungen  als Spam-Veröffentlichungen, die zu gefälschten Facebook-Kontenüberprüfungen führten. Auch als Apple-Benchrichtigung getarnte Spam-Nachrichten sind bekannt, die zu einer Phisihing-Site führten, um an die iTunes-Benutzernamen und Kennwörter der Opfer zu kommen. Deshalb sollten Nutzer sehr vorsichtig sein, bevor sie Links in einer Mail-Nachricht anklicken, gerade wenn diese von einem unbekannten Absender stammt.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten. Der File Reputation Service erkennt diese Dateien als Schädlinge

Ein Gedanke zu „Bösartige E-Mail-Kampagne wird selbst zum Köder

  1. Pingback: Neuer Trick von Cyber-Kriminellen: Spam-Attacken zu Spam-Attacken - datensicherheit.de Informationen zu Datenschutz und Datensicherheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*