Rubrik: Virenwarnung/Aktuelle Meldungen

ZeuS hat es auf Paketkunden abgesehen

Link in gefälschten UPS E-Mails leitet Nutzer auf eine Screensaver Datei

(15.12.10) - G Data verzeichnet einen deutlichen Anstieg angeblicher UPS-Versandbenach-richtigungen. Die angegebene Paketverfolgungsnummer ist selbstverständlich ungültig. Der in der Mail angezeigte Link zeigt angeblich auf eine UPS-Seite, in Wahrheit leitet er ahnungslose Nutzer jedoch auf eine Screensaver Datei (shipping_invoice.scr). Die Schaddatei befindet sich pikanter-weise auf einem gehackten Server eines italienischen IT-Unternehmens.

Anzeige

G Data hat bereits Kontakt mit dem Unternehmen aufgenommen und die Verantwortlichen über die Sicherheitslücke informiert.

"Die Urheber dieser Malware nutzen aus, dass zur Weihnachtszeit besonders viele Pakete verschickt werden. Daher ist der Inhalt der Mail für viele Empfänger plausibel und somit besonders gefährlich", sagt Ralf Benzmüller, Leiter der G Data SecurityLabs.

Nach Erkenntnissen der G Data SecurityLabs stecken hinter der aktuellen Kampagne die Betreiber des ZeuS-Botnetzes.

Der Screensaver ist mit einer Version des ZeuS-Trojaners infiziert. Nach erfolgter Infektion versucht die Malware weiteren Schadcode von diversen anderen Servern herunterzuladen. Einige dieser URLs verweisen auf .exe Dateien, die nach bisherigen Analysen aber identisch sind mit shipping_invoice.scr.

Zusätzlich versucht der Trojaner auf den infizierten Rechnern mit dem Windows Explorer einen TCP-Port zu öffnen, um so eine Verbindung mit dem Command & Control Server der Täter herzustellen.

Nach Analysen der G Data SecurityLabs scheint das Trojanische Pferd nicht nur den Windows Explorer zu manipulieren, sondern klinkt sich auch in laufende Programme ein, um die verarbeiteten Daten unbemerkt abzugreifen - beispielsweise die im Browser eingegebenen Log-In Daten für Onlinebanking.

Bis zum Weihnachtsfest wird mit einer Zunahme von Phishing- und Malware-Spam gerechnet, die sich als Rechnungen, Bestellbestätigungen oder Informationen über aktuelle Paketzustellungen tarnen.

Text der aktuellen Spam-Mail:

Sehr geehrter Kunde,

Ihr Paket wurde zugestellt.

Die Paketverfolgungsnummer lautet: 1Z45AR920283681749 Sie können die Sendung hier online verfolgen:

http://XXX.ups.com/tracking/XXXX

Die Versandrechnung können Sie hier herunterladen:

http://XXX.ups.com/tracking/invoices/download.XXXXXX

Vielen Dank,

United Parcel Service

*** Dies ist eine automatisch generierte E-Mail, bitte antworten Sie nicht darauf! ***

(G Data: ma)

 

 

 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken