Zbot-Spam-Kampagne geht weiter

Original Artikel von Aljerro Gabon (Anti-spam Research Engineer, Trend Micro)

Eine leicht abgewandelte Zbot-Spam-Kampagne, die vorgibt, vom IT-Support verschiedener Firmen zu stammen, macht derzeit die Runde. Sie teilt Benutzern mit, dass ihre Postfacheinstellungen wegen eines Sicherheitsupdates des E-Mail-Systems geändert wurden. Die Benutzer werden angewiesen, die angehängte ZIP-Datei zu öffnen und die EXE-Datei INSTALL.EXE auszuführen, um die Änderungen zu übernehmen. Trend Micro identifiziert dies als TROJ_FAKEREAN.CF.

Bei der Ausführung greift dieser Trojaner auf http://{GESPERRT}nerkadosa.com/xIw1yPD0q5Gb8t0br4×6k5sk zu, um eine andere bösartige Datei herunterzuladen; diese wird als TROJ_FAKEREAN.BI identifiziert.

Zum Vergrößern klicken Zum Vergrößern klicken

In der Regel setzen Spammer zufällige E-Mail-Adressen in der VON– und AN-Kopfzeile ein, aber in diesem Fall wird in beiden Feldern die tatsächliche Unternehmensdomain als E-Mail-Adresse verwendet. Es macht die E-Mail-Nachricht glaubwürdiger und gaukelt vor, dass es sich um eine interne Firmenmail handelt, und verlockt den Benutzer dazu, die Malware auszuführen.

Dieser Angriff ist eine Fortsetzung der Phishing-Mail, über die wir letzte Woche gebloggt haben. Diese E-Mail gibt vor, vom Systemadministrator des Unternehmens zu stammen, der mitteilt, dass das System des Benutzers wegen eines Server-Upgrades aktualisiert werden muss. Dazu passend gibt es Subdomains, damit das Ganze rechtmäßig erscheint.

Benutzern wird dringend geraten, keine verdächtig aussehenden E-Mails zu öffnen, auch wenn sie scheinbar aus einer vertrauenswürdigen Quelle stammen. Außerdem sollten Benutzer beim Erhalt einer derartigen E-Mail zuerst bei ihrer IT-Abteilung oder dem technischen Support nachfragen, ob es tatsächlich ein solches Sicherheitsupdate gegeben hat. Trend Micro schützt Benutzer über das Trend Micro Smart Protection Network, das diese bösartige Datei entdeckt und sperrt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*