Die Geburt des britischen Prinzen als Spam-Köder

Originalartikel von Cyril Coronado, Anti-Spam Research Engineer

Der neue Prinz von Cambridge, Prinz Williams und Kate Middletons erster Sohn, ist endlich da, und die Freude in der ganzen Welt ist überwältigend. Aber wie immer bei solch großen Ereignissen freuen sich die Bösen mit: Es gibt bereits Spam-Nachrichten, die die Geburt des königlichen Kindes als Köder missbrauchen.


Bild 1. Beispiel einer Spam-Mail zur Geburt des Babys


Bild 2. “Royal Baby”-bezogene Bedrohungen tauchten bereits einen halben Tag nach der offiziellen Bekanntmachung der Geburt

Die Nachrichten scheinen von ScribbleLive zu kommen, einem Blogging-Dienst für Echtzeit-Kommentare. Das Angebot ist natürlich betrügerisch und die Links in der Mail starten lediglich mehrere Weiterleitungen, die für das Blackhole Exploit Kit (BHEK) typisch sind. BHEK ist eine Seite, über die die Cyberkriminellen feststellen, welche Softwareversion ein Opfer nutzt, sodass die Seite den „korrekten“ Exploit liefern kann.

In diesem Fall erkannten die Sicherheitsforscher das Skript, das die Weiterleitung anstößt, als JS_OBFUSC.BEB. Aus USA, Japan und Australien kamen die meisten Opfer, die die endgültige URL in der Infektionskette aufriefen. Doch das kann an der Zeitverschiebung liegen, und je mehr Briten am Morgen im Internet nach Nachrichten zum Neugeborenen suchen, desto mehr Infektionen werden wohl auch dort gemeldet werden.


Bild 3. Mehr als die Hälfte der Spam-Opfer kam aus den USA

Exploit Kits wie Blackhole Exploit Kit bieten Cyberkriminellen viele Annehmlichkeiten beim Durchführen von Spam-Kampagnen. Sie erleichtern das Anpassen verschiedener Aspekte einer Kampagne, etwa den Social-Engineering-Köder, die zu nutzenden Exploits und auch die Payload.

Die Köder beziehen sich häufig auf aktuelle Ereignisse, wie die Attentate auf den Boston Marathon oder die Papstwahl. Die aktuelle BHEK-Kampagne nutzt als Spam-Köder auch die Kontroverse um den nächstens anlaufenden Science Fiction-Film „Ender’s Game“. Hier sollen die Nachrichten den Anschein erwecken, sie kämen von CNN. Die Links aber sind die gleichen wie in den Spam-Mails zum „Royal Baby“.


Bild 4. Beispiel einer Spa-Mail zu „Ender’s Game“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*