Cyber-Kriminelle nutzen die Explosion im texanischen Waco für Verbreitung von Spam-Welle

Am gleichen Tag, an dem Cyber-Kriminelle  die Tragödie in Boston zur Verbreitung von Malware ausnutzten, haben wir eine zweite Spam-Welle beobachten können.

Diese Kampagne nutzt die Explosion einer Düngemittelfabrik in Waco, Texas, USA aus.

Die E-Mails verwenden dieselbe Vorlage: Nachrichten mit diesen oder ähnlichem Betreffzeilen wie „Waco explosion HD“ oder „Raw: Texas Explosion Injures Dozens“ enthalten den gleichen URL-Typ. Er besteht aus einer IP-Adresse und einer Datei.

1

Der Betrachter wird auf Webseiten weitergeleitet, die Videos mit der Explosion sowie zahlreiche Interviews, die auf YouTube gesammelt wurden, zeigen.

Die bösartige Fracht wird ähnlich wie in den vorherigen Attacken verbreitet:

  • Java-Exploit (das folgende Bild ist nicht mehr auf der Remote-Seite verfügbar, auf der es gehostet war)
    • 47dc82e5b451bce5f40fa8dc890310d5 *Anau.class
    • 69333fdd3aaab29ed4bcdfaa42ed8e28 *barks.class
    • 5b84ea75fb42a1953a4c5bef516f873e *Code.class
    • 00954374c3a4e6cfc2823850c02a83c8 *Doitfore.class
    • 763ff5e1a1ad65dc8c1e21a13c484154 *Hluiak.class
    • 975bc1f970f661d6da16c26fb27f8c3c *Hujter.class
    • 254d4b4a61a5ab90192994a7f9a79491 *Kivib.class
    • dccfc30208ef0d4a6a4ade01666355b8 *Monoa.class
    • 4a3c45a062fe7a88a2e4ecdb52678542 *Nespeho.class
    • f67c5de1b1691ed989921db0d8ba8fe3 *OItyep.class
    • b82e7b290e5c0c3f0c9251d0c8a4bc17 *Senna.class
    • 90d24d49c3d8188690a3c03262f8a55a *Szux.class
    • (und viele mehr)
  •  Hinterlegte, ausführbare Dateien
  • 58971f985efb7ae05fc01d334719f427 *fuwqj.exe
  • 3ef06bae42ba35e0a1a1da4a587b87da *lrwtv.exe
  • 77b46f1e9c23632e8fe093e877df7523 *temp86.exe
  • (und viele mehr)

ps3

Alle Avira-Programme erkennen diese Dateien als TR/Motsob.* und alle zwischengeschalteten Seiten werden als HTML/Blacole.* und HTML/iFrame.* erkannt (‘*’ steht für mehrere Varianten derselben Malware).

Vielen Dank an Jason Soo von VLAB in Kuala Lumpur für die schnelle Analyse.

 

Sorin Mustaca

IT Security Expert