Kaspersky Lab hat eine aktuelle Cybercrime-Kampagne analysiert, die seit Ende 2012 mit ähnlichen Mustern deutsche Nutzer mit gefälschten Rechnungsmahnungen attackiert. Ziel der Cyberkriminellen ist es, die Opferrechner mit einem Trojaner zu infizieren. Kaspersky Lab rät Anwendern vor allem bei Rechnungsmahnungen am 21. März und 4. April 2013 vorsichtig zu sein.
Anfang März 2013 entdeckte Kaspersky Lab eine ungewöhnliche E-Mail, die über verschiedene Adressen versendet wurde, aber denselben PDF-Anhang enthielt. Die E-Mails waren in deutscher Sprache verfasst und wurden von zahlreichen deutschen IP-Adressen verbreitet – immer mit einer entsprechenden Referenz, die auf einen deutschen Absender schließen ließ.
In der E-Mail wird der Nutzer aufgefordert, eine ausstehende Rechnung zu begleichen, die Kopie der angeblichen Rechnung ist als Anhang beigefügt.
Öffnet der Anwender den PDF-Anhang wird sein Computer mit einem Trojaner infiziert. Dabei wird das Exploit „CVE-2010-0188“ im Programm Adobe Acrobat Reader missbraucht. Kaspersky Lab blockiert und entdeckt das PDF unter dem Namen „Exploit.JS.CVE-2010-0188.e“. Die Entdeckung des Exploits wird erschwert, da der Code unter zwei Lagen Javascript versteckt liegt. Wird das Schadprogramm auf dem Rechner aktiv, wird die Meldung „Die Datei ist beschädigt und kann nicht geöffnet werden“ angezeigt. Anschließend installiert sich das Schadprogramm in den temporären Dateien mit einem zufällig erstellten Namen und versucht sich mit der URL „zeouk-gt.com“ zu verbinden.
Am 21. November 2012, am 4. Januar 2013 und am 21. Februar 2013 blockierte Kaspersky Lab eine große Anzahl an E-Mails, die einen sehr ähnlichen PDF-Anhang aufwiesen. Zudem war das decodierte JavaSkript dasselbe wie oben beschrieben. Kaspersky Lab geht davon aus, dass es sich hierbei um eine immer noch aktive Cyberkampagne handelt. Der IT-Sicherheitsexperte warnt daher, vor allem am 21. März und am 4. April 2013 bei E-Mails mit Rechnungsmahnungen sehr vorsichtig zu sein. Allerdings besteht für die Cyberkriminellen auch die Möglichkeit, das Schema hinsichtlich der Zeitintervalle des E-Mail-Versands zu ändern.
„Wieder einmal macht ein Massenmailing die Runde, wieder einmal werden PDF-Dokumente als Vehikel zur Infektion genutzt. Adobes Dokumentenformat rangiert auf dem zweiten Platz hinter Java als meistgenutzte Plattform für Exploit-Codes. Daher sollten Updates schnellstmöglich nach Bereitstellung installiert werden“, so Christian Funk, Senior Virus Analyst bei Kaspersky Lab. „Zudem versuchen Cyberkriminelle vermehrt, durch lokalisierte Versionen, wie zum Beispiel in Mailings, ihre Glaubwürdigkeit zu erhöhen.“
Weitere Details sind in einen aktuellen Kaspersky-Blog unter http://www.securelist.com verfügbar.