Gefährliche E-Mails im HTML-Format

Drive-by-Spam infiziert Rechner mit Malware

| Redakteur: Stephan Augsten

Das Öffnen aktueller Spam-Mails reicht aus, um sich mit Malware zu infizieren.
Das Öffnen aktueller Spam-Mails reicht aus, um sich mit Malware zu infizieren.

Die Gefahr durch E-Mail-Spam ist trotz der zunehmenden Bedeutung des Social Networking nicht zu unterschätzen. Derzeit kursieren Spam-Nachrichten, die den Rechner bereits beim Lesen mit Malware infizieren.

Sicherheitsforscher des E-Mail-Spezialisten Eleven warnen vor einer Welle von Spam-Mails, die erstmals in der Nacht vom 25. auf den 26. Januar 2012 die E-Mail-Eingänge überflutete. Die Mails mit der Betreffzeile „Banking security update“ geben vor, von einer amerikanischen Versicherung mit der Domain fdic.com zu stammen.

Damit fokussieren sich die Angreifer zwar zunächst nur auf englischsprachige Nutzer. Analog zu anderen Spam-Kampagnen ist aber davon auszugehen, dass bald auch regional angepasste Nachrichten in Umlauf geraten. E-Mail-Nutzer können sich schützen, indem sie sich E-Mails im „Nur Text“-Format anzeigen lassen.

Andernfalls laden die HTML-Mails mithilfe eines eingebetteten Javascript-Codes bereits beim Öffnen Malware auf den Rechner. Es muss also nicht erst ein Anhang geöffnet oder ein Link angeklickt werden. Aufgrund der Ähnlichkeit zum Drive-by-Download spricht Eleven auch von Drive-by-Spam.

Versteckter Schwachstellen-Scan

Je nach Einstellung des E-Mail-Clients wird der eingebettete HTML-Code sofort ausgeführt. Der Anwender sieht das nur den Hinweis „Loading…Please wait.…“. In der Zwischenzeit wird versucht, den PC über mehrere Umleitungen auf Systeminformationen und Schwachstellen zu scannen und passende Schadsoftware zu laden.

Um die Erkennung der Malware-Links zu erschweren, wurde der HTML-Code per Javascript verschleiert. Bei der eigentlichen Ziel-URL handelt sich um eine russische Website, auf der ein PHP-Script die weitere Arbeit übernimmt.

Die Schadsoftware selbst ist auf einer anderen Domain hinterlegt, die offensichtlich erst seit Montag, 16. Januar 2012, existiert. Die Webseite wurde mit dem Phoenix-Exploit-Kit ausgestattet, um Sicherheitslücken auf dem Zielrechner zu finden. Angemeldet wurde sie über einen russischen Registrar, die dahinter liegende IP-Adresse befindet sich jedoch in den USA.

Weitere Informationen finden sich im Security-Blog von Eleven.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 31557620 / DDoS und Spam)