Suchen

Gefährliche E-Mails im HTML-Format Drive-by-Spam infiziert Rechner mit Malware

Redakteur: Stephan Augsten

Die Gefahr durch E-Mail-Spam ist trotz der zunehmenden Bedeutung des Social Networking nicht zu unterschätzen. Derzeit kursieren Spam-Nachrichten, die den Rechner bereits beim Lesen mit Malware infizieren.

Firma zum Thema

Das Öffnen aktueller Spam-Mails reicht aus, um sich mit Malware zu infizieren.
Das Öffnen aktueller Spam-Mails reicht aus, um sich mit Malware zu infizieren.

Sicherheitsforscher des E-Mail-Spezialisten Eleven warnen vor einer Welle von Spam-Mails, die erstmals in der Nacht vom 25. auf den 26. Januar 2012 die E-Mail-Eingänge überflutete. Die Mails mit der Betreffzeile „Banking security update“ geben vor, von einer amerikanischen Versicherung mit der Domain fdic.com zu stammen.

Damit fokussieren sich die Angreifer zwar zunächst nur auf englischsprachige Nutzer. Analog zu anderen Spam-Kampagnen ist aber davon auszugehen, dass bald auch regional angepasste Nachrichten in Umlauf geraten. E-Mail-Nutzer können sich schützen, indem sie sich E-Mails im „Nur Text“-Format anzeigen lassen.

Andernfalls laden die HTML-Mails mithilfe eines eingebetteten Javascript-Codes bereits beim Öffnen Malware auf den Rechner. Es muss also nicht erst ein Anhang geöffnet oder ein Link angeklickt werden. Aufgrund der Ähnlichkeit zum Drive-by-Download spricht Eleven auch von Drive-by-Spam.

Versteckter Schwachstellen-Scan

Je nach Einstellung des E-Mail-Clients wird der eingebettete HTML-Code sofort ausgeführt. Der Anwender sieht das nur den Hinweis „Loading…Please wait.…“. In der Zwischenzeit wird versucht, den PC über mehrere Umleitungen auf Systeminformationen und Schwachstellen zu scannen und passende Schadsoftware zu laden.

Um die Erkennung der Malware-Links zu erschweren, wurde der HTML-Code per Javascript verschleiert. Bei der eigentlichen Ziel-URL handelt sich um eine russische Website, auf der ein PHP-Script die weitere Arbeit übernimmt.

Die Schadsoftware selbst ist auf einer anderen Domain hinterlegt, die offensichtlich erst seit Montag, 16. Januar 2012, existiert. Die Webseite wurde mit dem Phoenix-Exploit-Kit ausgestattet, um Sicherheitslücken auf dem Zielrechner zu finden. Angemeldet wurde sie über einen russischen Registrar, die dahinter liegende IP-Adresse befindet sich jedoch in den USA.

Weitere Informationen finden sich im Security-Blog von Eleven.

(ID:31557620)