Der BKA-Trojaner verbreitet sich weiterhin über E-Mails mit gefälschten Rechnungen

Obwohl die Betrüger, die hinter dem BKA-Trojaner (auch bekannt als Ransom-Trojaner) stecken, von der Polizei gefasst wurden, sind noch zahlreiche E-Mails mit dem Schadprogramm im Umlauf.

Eine dieser E-Mails hat meine Aufmerksamkeit geweckt – sie war direkt an mich adressiert und hatte ein spezielles Format.

hse24-rechnung

Die E-Mail gibt vor von dem namenhaften Online-Shopping-Portal hse24.de zu stammen. Als Empfänger ist nur die E-Mail-Adresse des Absenders sichtbar.

In der Anrede der E-Mail werden Vor- und Nachname des Empfängers genannt. Es ist anzunehmen, dass diese Daten aus der E-Mail-Adresse ausgelesen wurden.  Unvorsichtige Nutzer können hierdurch von der Echtheit der E-Mail überzeugt werden. Im Anhang wird dasselbe Prinzip angewandt – er besteht aus einer Zip-Datei im Format „Rechnung <Vorname> <Nachname>.zip” / „Invoice < Vorname > <Nachname>.zip”.

Interessanterweise enthält das Zip-Archiv eine weitere Zip-Datei mit dem Namen „Bestellung 16.02.2013 – Rechnung” / „Order 16.02.2003 – Invoice”, in dem sich eine .com-Datei befindet. Allerdings ergibt eine Schnellanalyse, dass dies nur eine normale .exe-Datei ist, die mit Visual Studio erstellt wurde. Sie enthält den Trojaner „TR/Ransom.Foreign.acdb.1”. Diese Art der Malware-Verschleierung ist sehr clever, da nur sehr wenige Gateway-Sicherheitslösungen und mit Sicherheit keine lokale Anwendungmehr als eine Schicht innerhalb von Archiven scannen. Mit dieser Methode haben es die Cyber-Verbrecher geschafft, dass die gefährlichen Daten alle Sicherheitsprüfungen überwinden und es bis in den Posteingang des Nutzers schaffen.

Avira-Nutzer müssen sich keine Sorgen machen, denn alle Produkte erkennen diese Datei als „TR/Ransom.Foreign.acdb.1”. Somit sind alle Avira-Kunden geschützt.

 

Sorin Mustaca

IT Security Expert