Um ca. 12.00 Uhr deutscher Zeit registriert das Eleven Research-Team einen heftigen Ausbruch von E-Mails mit noch unbekannter Schadsoftware im Anhang. Aufhänger ist diesmal der bekannte Hoster und Provider GMX und angebliche Absender-Adresse: rechnungsstelle@gmxnet.de
Die Betreffzeile lautet: „GMX – Ihre Rechnung vom 19.08.2013“. Im Gegensatz zu früher versandten E-Mails wird ein konkreter Name als Anrede benutzt. In den untersuchten Samples bleibt der immer gleich, die angebliche Kundennummer ändert sich jedoch. In der E-Mail wird über eine Rechnung vom 19.08. informiert und dass der Rechnungsbetrag in den nächsten Tagen vom Konto abgebucht werde. Ein Link zum Download des Adobe Readers ist ebenfalls in der E-Mail enthalten. Dieser führt tatsächlich auf die angegebene Seite von Adobe. Dass dies nicht immer der Fall ist, konnte das Eleven Research-Team in den vergangenen Wochen beobachten, als neben dem Malware-Anhang auch noch zu einer Drive-By-Website verlinkt wurde.
Schadsoftware wird schlecht erkannt
Im aktuellen Fall ist nur der Anhang gefährlich, der mit RG XXXX.zip benannt ist, wobei unterschiedliche Zahlenkombinationen an Stelle von XXXX zum Einsatz kommen. In der E-Mail wird auf ein PDF verwiesen, welches jedoch eine abweichende Zahlenfolge besitzt. Nur wenige Scanner des Portals virustotal.com erkennen die Malware bisher. Nähere Informationen zur Schadsoftware sind bisher nicht bekannt.
Zu einem großen Teil stammen die verseuchten E-Mails von italienischen IP-Adresse, aber leider auch von deutschen und polnischen. Dies legt den Verdacht nahe, dass mitten in Europa eine erhebliche Anzahl von Rechnern infiziert ist und als Teil eines Botnetzes fungiert.
Quelle: eleven
Dieser Artikel wurde entnommen dem Newsletter
- Bilder Geisbruchtreff „2023“ - 28. August 2023
- Aktuelle Termine - 30. Dezember 2022
- Bilder Geisbruchtreff „2022“ - 30. August 2022