Gefälschte E-Mail-Benachrichtigung verbreitet bösartige PDFs

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Trend Micro hat eine verdächtige E-Mail entdeckt, die vorgibt, eine IT-Benachrichtigung zu sein. Sie informiert Nutzer darüber, dass deren Mailbox-Einstellungen geändert wurden. Die Mail hat einen pdf-Anhang, der angeblich Anleitungen umfasst, die der Nutzer vor dem Aktualisieren seiner Einstellungen lesen soll.

Dieser Angriff ähnelt vielen früheren, die auch vorgaben, von einem realen Absender zu kommen, und wie eine fast legitime Benachrichtigung einer Firma wirkten. Mit einem solchen Design hoffen die Cyberkriminellen, ihre bösartigen Machwerke für die Empfänger glaubwürdiger zu machen und sie damit dazu zu bringen, den pdf-Anhang zu öffnen. Der Screenshot zeigt ein Beispiel einer solchen Mail:


Es gibt ein paar einfache, sichere Praktiken, die immer dann angewendet werden sollten, wenn E-Mails geöffnet und Anhänge ausgeführt werden:

  • Prüfen Sie immer, wer der Absender der Mail ist.
  • Suchen sie nach Fehlern in der Nachricht.
  • Klicken Sie nie auf eingebettete Links.
  • Überprüfen Sie die tatsächlichen Extensions in den Namen der Anhänge, und klicken Sie nie auf ausführbare Dateien.

Tatsächlich ist der pdf-Anhang eine bösartige Datei, die Trend Micro als TROJ_PIDIEF.ZAC identifiziert hat. Wird die pdf-Datei ausgeführt, so ruft sie ein eingebettetes Skript batscript.vbs (248.867 Bytes, VBS_EMOTI.A) auf, das eine Wurmkomponente namens game.exe (35.328 Bytes, WORM_EMOTI.A) ablegt und ausführt. Diese Komponente enthält darüber hinaus die Rootkit-Datei bp.sys (8.416 Bytes, RTKT_EMOTI.A), um bei Bedarf ihre bösartigen Routinen vor der Entdeckung zu verstecken.

Diese Bedrohung versucht, auf einen FTP-Server zuzugreifen, um möglicherweise weitere bösartige Dateien auf das betroffene System herunterzuladen. Mittlerweile sind weitere Spam-Nachrichten, die ähnliche Social-Engineering-Techniken nutzen, aufgetaucht. Diese enthalten einen bösartigen Anhang, den Trend Micro als TROJ_KATUSHA.F identifiziert hat.

Die In-the-Cloud-Engine von Trend Micro erkennt umgehend die verschiedenen Komponenten dieses Angriffs und stellt so den Schutz der Anwender sicher. Das Smart Protection Network schützt auch vor dieser Bedrohung, denn das Content-Sicherheitsnetzwerk blockiert mittels der Web und Reputation Services den Zugriff auf bösartige URLs und Spam. Auch jede Malware, die mit diesem Angriff in Zusammenhang steht wird über den File Reputation Service erkannt. Denkt ein Nutzer, sein System könnte bereits infiziert sein, so kann er mit dem kostenlosen Tool HouseCall sein System scannen und säubern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*