Kaspersky warnt vor Malware-Kampagne mit Mahnungen

SicherheitVirus

Anwendern rät Kaspersky Lab bei Mahnungen per E-Mail besonders am 21. März und 4. April vorsichtig zu sein. Die Sicherheitsexperten rechnen damit, dass an diesen Tagen vermehrt Mails mit Trojaner im PDF-Anhang unterwegs sein werden. Die Malware nutzt den Exploit “CVE-2010-0188” in Adobes Acrobat Reader aus.

Kaspersky Lab hat eine aktuelle Cybercrime-Kampagne untersucht, mit der seit Ende 2012 deutsche Nutzer immer wieder mit ähnlichen Mustern mit gefälschten Mahnungen angegriffen werden. Ziel ist es, die Rechner der Empfänger mit einem Trojaner zu infizieren. Kaspersky Lab rät Anwendern vor allem bei Rechnungsmahnungen am 21. März und 4. April 2013 vorsichtig zu sein.

kasperskylab_logo_622px

Anfang März 2013 hat Kaspersky Lab eine E-Mail entdeckt, die über verschiedene Adressen versendet wurde, aber denselben PDF-Anhang enthielt. Die E-Mails waren in deutscher Sprache verfasst und wurden von zahlreichen deutschen IP-Adressen verbreitet – immer mit einer entsprechenden Referenz, die auf einen deutschen Absender schließen ließ.

In der E-Mail wird der Empfänger aufgefordert, eine ausstehende Rechnung zu begleichen. Die Kopie der angeblichen Rechnung ist als PDF-Anhang beigefügt. Öffnet der Anwender diesen jedoch wird sein Computer mit einem Trojaner infiziert. Dabei wird der Exploit “CVE-2010-0188” im Programm Adobe Acrobat Reader missbraucht.

Christian Funk, Senior Virus Analyst bei Kaspersky Lab (Bild: Kaspersky).
Christian Funk, Senior Virus Analyst bei Kaspersky Lab (Bild: Kaspersky).

Antivirensoftware wird die Entdeckung der Malware erschwert, da der Exploit unter zwei Lagen Javascript versteckt liegt. Wird das Schadprogramm auf dem Rechner aktiv, zeigt es die Meldung: “Die Datei ist beschädigt und kann nicht geöffnet werden”. Anschließend installiert sich das Schadprogramm in den temporären Dateien mit einem zufällig erstellten Namen und versucht sich mit der URL zeouk-gt.com zu verbinden.

Am 21. November 2012, am 4. Januar 2013 und am 21. Februar 2013 blockierte Kaspersky Lab eine große Anzahl an E-Mails, die einen sehr ähnlichen PDF-Anhang aufwiesen und das beschriebene Java-Skript enthielten. Kaspersky Lab geht davon aus, dass es sich um eine immer noch aktive Cyberkampagne handelt. Die Sicherheitsexperte rechnen damit, dass vor allem am 21. März und am 4. April wieder E-Mails mit gefährlichen Rechnungsmahnungen versandt werden.

“Wieder einmal macht ein Massenmailing die Runde, wieder einmal werden PDF-Dokumente als Vehikel zur Infektion genutzt. Adobes Dokumentenformat rangiert auf dem zweiten Platz hinter Java als meistgenutzte Plattform für Exploit-Codes. Daher sollten Updates schnellstmöglich nach Bereitstellung installiert werden”, so Christian Funk, Senior Virus Analyst bei Kaspersky Lab. “Zudem versuchen Cyberkriminelle vermehrt, durch lokalisierte Versionen, wie zum Beispiel in Mailings, ihre Glaubwürdigkeit zu erhöhen.”

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen