Die Sicherheitsexperten von Kaspersky Lab haben eine aktuelle Cybercrime-Kampagne analysiert. Seit Ende 2012 werden demnach deutsche Nutzer mit gefälschten Rechnungsmahnungen attackiert, wobei versucht wird, den Rechner der Nutzer mit einem Trojaner zu infizieren. Vor allem am 21. März und 4. April 2013, so Kaspersky, sollten Anwender bei Rechnungsmahnungen vorsichtig zu sein.
“Anfang März 2013 entdeckte Kaspersky Lab eine ungewöhnliche E-Mail, die über verschiedene Adressen versendet wurde, aber denselben PDF-Anhang enthielt”, so Kaspersky in einer Mitteilung und weiter : “Die E-Mails waren in deutscher Sprache verfasst und wurden von zahlreichen deutschen IP-Adressen verbreitet – immer mit einer entsprechenden Referenz, die auf einen deutschen Absender schließen ließ.”
In der betreffenden Mail werden die Nutzer dazu aufgefordert, eine ausstehende Rechnung zu begleichen. Im Anhang befindet sich eine angebliche Kopie dieser Rechnung. Beim Öffnen des PDF-Anhangs wird der Rechner allerdings mit einem Trojaner infiziert, der eine bereits im Februar 2010 entdeckte und von Adobe gestopfte Sicherheitslücke im Adobe Acrobat Reader ausnutzt. Die Entdeckung des Schädlings durch Sicherheitsprogramme wird dadurch erschwert, dass der Schadecode unter zwei Javascript-Lagen versteckt wird. Erscheint beim Öffnen die Fehlermeldung “Die Datei ist beschädigt und kann nicht geöffnet werden”, dann installiert sich das Schadprogramm in den temporären Dateien mit einem zufällig erstellten Namen und versucht sich mit der URL „zeouk-gt.com“ zu verbinden.
Kaspersky konnte laut eigenen Angaben bereits am 21. November 2012, 4. Januar 2013 und 21. Februar eine große Anzahl an Mails blockieren, die einen ähnlichen PDF-Anhang besaßen. Die Sicherheitsexperten gehen davon aus, dass es sich um eine noch aktive Cyberkampagne handelt, bei der die schädlichen Mails in gleichen Zeitintervallen versendet werden. Aus diesem Grund sollten die Nutzer nun am 21. März und 4. April 2013 erneut vorsichtig beim Empfang verdächtiger Mails sein. Für die Macs ist der Trojaner unschädlich, da alle Schadprogramme für Windows geschrieben sind. Es gilt aber nach wie vor: Verdächtige Mails nicht verbreiten oder weiter schicken.
„Wieder einmal macht ein Massenmailing die Runde, wieder einmal werden PDF-Dokumente als Vehikel zur Infektion genutzt. Adobes Dokumentenformat rangiert auf dem zweiten Platz hinter Java als meistgenutzte Plattform für Exploit-Codes. Daher sollten Updates schnellstmöglich nach Bereitstellung installiert werden“, so Christian Funk, Senior Virus Analyst bei Kaspersky Lab.
Autor: Panagiotis Kolokythas, Chefredakteur
Panagiotis "Takis" Kolokythas schreibt seit über 20 Jahren News, Ratgeber und Tipps zu fast allen IT-Themen.