E-Mails mit bösartigen URLs bedienen sich der Tragödie von Boston, um verwundbare Java-Installationen auszunutzen

Gestern waren die USA Ziel eines Bombenanschlags, der während des Boston Marathons verübt wurde.

Nur 24 Stunden später konnten wir einen massiven Anstieg von Spam-Nachrichten verzeichnen, die Betreffzeilen wie „Explosion at Boston Marathon“ oder „Boston Explosion caught on Video“ enthielten. Diese sogenannte Social-Engineering-Methode ist nicht neu. Wir beobachten das Phänomen jedes Mal, wenn prägnante Ereignisse auf der Welt geschehen (Krieg, Naturkatastrophen, soziale Ereignisse), die potentiell viele Menschen ansprechen. Social Engineering ist eine altbekannte Methode, aber immer wieder gibt es neue Opfer.

2

1

Auch auf Facebook gab es Beiträge mit Links zu verschiedenen Webseiten, die momentan noch kategorisiert werden. Man kann davon ausgehen, dass ein Großteil davon den Betrachter auf Seiten mit Malware weiterleitet.

Der Inhalt dieser E-Mails besteht nur aus einer einzigen Textzeile. Sie enthält eine URL mit einer IP-Adresse sowie eine HTML-Seite mit dem Namen „news.html“ oder „boston.html“.

Nach dem Aufruf der Webseite wird der Betrachter auf drei andere URLs weitergeleitet. Von dort aus installiert der Schadcode eine JAR-Datei auf euer System, falls auf dem PC eine verwundbare Java-Version erkannt wird.

Boston Marathon Malware 2

 

Update: Wir sind nun auch im Besitz eines Screenshots einer Seite, die ein kurzes Video abspielt, während gleichzeitig versucht wird, eine JAR-Datei auszuführen, die die Java-Schwachstelle ausnutzt.

Wir haben schon oft vor den Risiken bei der Verwendung von Java berichtet, da es zahlreiche Schwachstellen hat und Java oftmals nicht zwingend benötigt wird. Hier erfahrt ihr, wie ihr Java deaktiviert oder deinstalliert.

Die Datei wird von einer zufällig generierten URL heruntergeladen, die bei jedem Besucher unterschiedlich ist:

urls

 

Die Malware speichert die bösartige Datei im TEMP-Verzeichnis des angemeldeten Benutzerkontos und benennt sie in „alifna.exe” um. Anscheinend wird die Datei unter Verwendung eines Zufallsgenerators erstellt, da jeder Besucher eine leicht abgewandelte Version erhält. Glücklicherweise sind die Änderungen nicht gravierend und unsere Produkte erkennen alle Varianten als „TR/Crypt.ZPACK.Gen“.

Sie haben also nichts zu befürchten – alle Avira-Nutzer sind bereits geschützt.

Vielen Dank an Eric Burk von VLAB in Deutschland für die Analyse.

 

Sorin Mustaca

IT Security Expert