- Anzeigen -


Sie sind hier: Home » Virenwarnung » Aktuelle Meldungen

Exe-Datei in Wirklichkeit ein Downloader





Auch deutsche Nutzer von variablem Spam-Mail-Angriff betroffen
Am ersten Tag wurden Tausende Anwender von der Spam-Mail eingeladen, ein Archiv mit einer schädlichen Exe-Datei herunterzuladen, die angeblich von einem Steuerberater stammt

Eine neue weltweite Spam-Kampagne zur Verbreitung des Banking-Trojaners Dyre greift aktuell auch Nutzer in Deutschland an. Unter anderem könnten Kunden der Deutschen Bank, Valovis Bank oder volkswagenbank.de betroffen sein. Das haben Malware-Analysten des Sicherheitsspezialisten Bitdefender herausgefunden.

Bei dem Trojaner handelt sich zwar um einen alten Bekannten, nämlich den Banking-Trojaner Dyreza – auch bekannt als Dyre –, der bereits im Februar dieses Jahres in einer groß angelegten Spam-Welle verteilt wurde. Dieses Mal jedoch wurde er in einer dreiteiligen Mail-Kampagne mit jeweils verschiedenen Inhalten versendet, um mehr Nutzer zum Anklicken zu motivieren und dadurch den Schaden zu vergrößern.

Am ersten Tag wurden Tausende Anwender von der Spam-Mail eingeladen, ein Archiv mit einer schädlichen Exe-Datei herunterzuladen, die angeblich von einem Steuerberater stammt. Sie gab sich als Nachfass-Mail aus und bat die Nutzer, dringend das angehängte Archiv herunterzuladen und Informationen zur Vervollständigung einer Finanztransaktion einzutragen. Eine sehr ähnliche E-Mail wurde am nächsten Tag verschickt. Sie gab vor, Finanzunterlagen im Anhang zu besitzen, die der Nutzer verifizieren sollte. Die dritte E-Mail warnte dann den Empfänger vor Strafzahlungen für sein Unternehmen und forderte ihn auf, sich die "verwaltungsmäßige Festlegung" anzusehen.

Die in allen Fällen mitgelieferte Exe-Datei ist jedoch in Wirklichkeit ein Downloader, der den Banking-Trojaner Dyre herunterlädt und ausführt. Diese Malware wurde zum ersten Mal im Jahr 2014 beobachtet und ist dem berüchtigten Zeus-Trojaner sehr ähnlich. Er installiert sich selbst auf dem Computer eines Nutzers und wird nur dann aktiv, wenn dieser seine Anmeldedaten auf bestimmten Websites eingibt. Meist handelt es sich dabei um die Anmeldeseite einer Bank oder eines Finanzdienstleisters. Bei dieser als "Man-in-the-Browser" bekannten Angriffsform injizieren Hacker schädlichen JavaScript-Code, mit dessen Hilfe sie Anmeldedaten stehlen und zugehörige Benutzerkonten manipulieren – ohne entdeckt zu werden.

Den Malware-Forschern von Bitdefender ist es gelungen, die verschlüsselte Kommunikation des Trojaners mit dem C&C-Server zu umgehen und die Liste der angegriffenen Websites aufzudecken. Es handelt sich um Kunden von bekannten Banken und Finanzinstituten aus Deutschland, Frankreich, Großbritannien, Rumänien, USA und Australien. Ihnen könnten Anmeldedaten oder Geld von ihren Konten gestohlen worden sein. Laut den Bitdefender Labs wurden an drei Tagen 19.000 schädliche E-Mails über Spam-Server in den USA, Taiwan, Hongkong, Dänemark, Russland, China, Südkorea, Großbritannien, Australien und anderen Ländern verschickt.

Mit jeder neuen Kampagne werden die Spam-Attacken für Dyre ähnlich wie bei anderen Varianten immer raffinierter. Die Opfer bemerken nur selten, was wirklich auf ihren Rechnern geschieht, da die Schaddateien sich immer besser verstecken und Sicherheitsmechanismen umgehen können. So lässt sich zum Beispiel Dyre nicht von Zwei-Faktor-Authentifizierung und verschlüsselter SSL-Kommunikation abschrecken.

Da die Banken nicht den Mail-Eingang ihrer Kunden kontrollieren können, liegt es in der Verantwortung der Anwender, trotz der ausgefeilten Angriffstaktik nicht auf die List hereinzufallen und das Archiv herunterzuladen oder gar zu öffnen. Bitdefender möchte Computernutzer daran erinnern, dass sie möglichst nicht auf Links in E-Mails von unbekannten Absendern klicken und natürlich ihren Virenschutz stets mit den neuesten Virendefinitionen aktualisieren sollten. So erkennt und blockiert die aktuelle Version der Sicherheitssoftware von Bitdefender auch diese Bedrohung.

Dieser Artikel basiert auf Spam-Beispielen, die mit freundlicher Genehmigung von Adrian Miron, Spamforscher bei Bitdefender, zur Verfügung gestellt wurden, sowie auf technischen Informationen des Bitdefender-Experten Alexandru Maximciuc.
(Bitdefender: ra)

Bitdefender: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Aktuelle Meldungen

  • Nahezu jeder Browser betroffen

    Eset warnt vor der neu entdeckten Banking-Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus. "BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking-Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript-Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

  • Neue Bitcoin Cash-Ransomware "Thanatos"

    Seit kurzem warnen Sicherheitsexperten vor einer neuen kritischen Ransomware namens Thanatos. Der nach dem griechischen Totengott benannte Erpresser-Trojaner zeichnet sich dabei durch zwei Besonderheiten aus: Zum einen soll die Lösegeldforderung bei Thanatos nicht mehr mit herkömmlichen Bitcoins, sondern der neuen Kryptowährung Bitcoin Cash beglichen werden.

  • Neue Spionage-Malware ersetzt FinFisher

    Bei tiefgehenden Forschungen zu der berüchtigten Spyware FinFisher ist Eset auf eine neue Schadsoftware gestoßen: Die Malware StrongPity2 weist große Ähnlichkeiten zu der bereits bekannten Spyware auf. Die FinFisher-Kampagne wurde im September 2017 eingestellt, nachdem Eset aktuelle Forschungsergebnisse veröffentlichte. Nur wenige Wochen später wurden die Eset-Forscher auf Cyberattacken aufmerksam, bei denen sehr ähnliche Angriffsszenarien genutzt wurden. StrongPity2 gehört zu einer anderen Malware-Familie. Die Gemeinsamkeiten deuten jedoch darauf hin, dass die Malware nun als Ersatz für FinFisher verwendet wird.

  • DoubleLocker nutzt Android-Bedienungshilfen

    Eset warnt aktuell vor einer neuen Bedrohung für Android-Geräte. Der von Eset-Forschern entdeckte Android-Schädling verbreitet sich vorrangig als vermeintlicher "Adobe Flash Player" über infizierte Webseiten. DoubleLocker gilt nach Analyse der Experten als technisch ausgereift und kombiniert cyberkriminelle Taktiken auf neue Weise: Nach erfolgter Infektion verschlüsselt die Ransomware sämtliche Daten im Gerätespeicher und sperrt den Nutzer zusätzlich durch Veränderung der PIN aus. Um das Gerät von der DoubleLocker-Ransomware zu befreien, ist ein Zurücksetzen auf die Werkseinstellungen notwendig. "DoubleLocker nutzt Android-Bedienungshilfen, was ein beliebter Trick unter Cyberkriminellen ist. Die Nutzlast dieser Ransomware kann die PIN des Geräts ändern, sodass das Opfer nicht mehr darauf zugreifen kann und die Daten verschlüsselt werden. Diese Kombination von Tools wurde im Android-Ökosystem noch nicht beobachtet", so LukᚠŠtefanko, Malware Researcher bei Eset und Entdecker von DoubleLocker.

  • Antivirenprogramme schützen

    Eset verzeichnet eine starke Verbreitung eines altbekannten Schädlings: Der Trojaner HTML/FakeAlert wurde erstmals im Dezember 2009 entdeckt. Dann war es lange Zeit ruhig um die Schadsoftware, bis 2015 die Fälle erneut anstiegen. Seitdem ist die Erkennungsquote weltweit enorm gestiegen. Derzeit zählt HTML/FakeAlert zu den fünf größten Bedrohungen rund um den Globus und weist in Deutschland die höchsten Erkennungsraten im Vergleich zu anderer Malware auf. Der Trojaner HTML/FakeAlert kann durch anderen Schadcode auf den Computer eines Opfers gelangen, wie etwa über Webseiten, E-Mail-Anhänge oder Downloads von Filesharing-Seiten.