Ungwöhnlicher Spam mit Anhang

Originalartikel von Jonathan Leopando, Technical Communications

Kurz nach der Verhaftung von Paunch, gingen die Spam-Kampagnen mit dem Blackhole Exploit Kit (BHEK) zurück. Nun aber ist ein Anstieg bei Nachrichten mit einem bösartigen Anhang zu verzeichnen.
Kürzlich fanden die Trend Micro-Sicherheitsforscher ein eher ungewöhnliches Spam-Muster, das Merkmale aus beiden Angriffen in sich vereint.

Spam-Nachricht

Diese Nachrichten enthalten sowohl einen Link auf eine bösartige Site als auch einen bösartigen Anhang – und das ist ungewöhnlich.

Die URLs in den Nachrichten führen im Allgemeinen zu kompromittierten Sites, die in ähnlicher Weise wie im Blackhole Exploit Kit auf JavaScript-Dateien zeigen. Die Forscher konnten nicht sagen, ob diese Dateien zu Weiterleitungen auf Sites mit Exploit Kits führen, doch die Inhalte der kompromittierten Sites sind fast identisch mit denen, die in Blackhole-Kampagnen benutzt werden.

Der bösartige Anhang ist eine weitere UPATRE-Variante, TROJ_UPATRE.SMB. Dieser Downloader installiert eine ZBOT-Variante auf das betroffene System. Die Trend Micro-Forscher hatten bereits früher festgestellt, dass das Cutwail-Botnet Spam-Nachrichten mit UPATRE-Downloaders als Anhang verschickt hatte. Dies ist auch aktuell der Fall.

Längerfristig könnte das bedeuten, dass Angreifer BHEK mit einem anderen Exploit Kit ersetzen. Doch noch lässt sich dies nicht mit Sicherheit sagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*