Suchen

Cyberkriminelle nutzen bislang unbekannten Kommandozeilen-Trick Trojaner führt vermeintliches SSL-Zertifikat per Link aus

Autor / Redakteur: Dirk Srocke / Peter Schmitz

Mit einer massiven Spamwelle wollen Cyberkriminelle derzeit offenbar ein neues Botnet aufbauen. Verschiedene Sicherheitsanbieter berichten einhellig über gefälschte Rechnungen von „Vattenfall Europe“ oder dem „Amtgericht Köln“. Im E-Mail-Anhang verbirgt sich ein Trojaner, der sich doppelt tarnt und Schadcode nachlädt.

Firmen zum Thema

Der Link sieht aus wie eine Textdatei, startet aber per Kommandozeile ein als SSL-Zertifikat getarntes Schadprogramm.
Der Link sieht aus wie eine Textdatei, startet aber per Kommandozeile ein als SSL-Zertifikat getarntes Schadprogramm.
( Archiv: Vogel Business Media )

Sicherheitsdienstleister Antispameurope warnt vor einer fortlaufenden Welle gefälschter E-Mails mit angehängtem Trojaner. Die als „professionell“ eingestuften Attacken laufen alle 45 bis 120 Minuten. Die angegebenen Absender der Nachrichten wechseln dabei, so tauchen auf: Das Social Network Stay Friends, das Energieunternehmen Vattenfall Europe oder das Amtsgericht Köln.

Statt der im Betreff angegebenen Informationen über Abbuchungen, Lastschriften oder Inkassoverfahren enthalten die Nachrichten allerdings einen Trojaner. Antivirenexperte G Data hat sich die E-Mails genauer angesehen und dabei ein bislang unbekanntes Täuschungsmanöver ausgemacht.

Schadcode verbreitet sich durch neuen Kommandozeilen-Trick

Die grammatikalisch unzulänglichen Nachrichten enthalten im Anhang die gepackte Datei Rechnung.zip. Diese wiederum beherbergt den als SSL-Zertifikat getarnten Schadcode Zertifikat.ssl sowie das File Rechnung.txt.lnk.

Auf dem Windows-Desktop ist eine Link-Datei lediglich durch den Pfeil im Icon als solche zu erkennen. Die Erweiterung .lnk wird in den Standardeinstellungen des Betriebssystems nicht angezeigt – um das zu ändern, wäre ein Anpassen der Registry nötig.

Diesen Effekt machen sich die Angreifer zunutze und tarnen den Verweis zusätzlich mit einem Symbol, das eine Textdatei vermuten lässt. In Wirklichkeit verweist der Link allerdings auf die gefälschte SSL-Datei.

Trotz der Erweiterung .ssl beinhaltet das File ausführbaren Code. Dieser lässt sich zwar nicht per Mausklick starten, dafür aber über die Kommandozeile und die Option /c. Die entsprechenden Anweisungen hierfür liefert die Link-Datei an das Betriebssystem.

Beim Doppelklick auf die vermeintliche Rechnung erhalten unvorsichtige Anwender also keinen Einblick in Rechnungsdaten, sondern starten im Hintergrund einen Trojaner. Der übermittelt einen eindeutigen Schlüssel an einen Server und lädt weiteren Schadcode nach, so die G Data Security Labs.

(ID:2017453)