1770013

Falsche Bahn-Mails verbreiten Schädlinge

17.05.2013 | 16:24 Uhr |

Vorgeblich von der Deutschen Bahn stammende Mails mit einer Buchungsbestätigung enthalten einen Anhang, in dem Malware steckt. Gleiches gilt für gefälschte Mails mit vermeintlichen Telekom-Rechnungen und vorgebliche Facebook-Mails.

Auch in dieser Woche versenden Online-Kriminelle wieder unter verschiedenen Deckmänteln Mails mit schädlichen Anhängen. Die Masche mit vorgeblichen Rechnungen, Mahnungen oder Bestellbestätigungen wird seit mehr als einem Jahr genutzt, um Erpresser-Malware (Ransomware) zu verbreiten, gerne auch als "BKA-Trojaner" bezeichnet.

Das Berliner Sicherheitsuntenehmen Eleven, inzwischen eine Commtouch-Tochter, berichtet in seinem Blog über Spam-artig verbreitete Mails, die vorgeblich von der Deutschen Bahn stammen. Sie kommen mit einem Betreff wie "Ihren Fahrkartenkauf (Auftrag DX62SG)" (diese Nummer kann variieren) und gefälschten Absenderangaben. Im Text bedankt man sich für den Fahrkartenkauf und fordert dazu auf das angehängte Ticket auszudrucken.

Der Anhang ist eine ZIP-Datei mit einem Namen wie "Ihren Fahrkartenkauf_SQ7OTD.zip", in der eine Programmdatei steckt, die durch die doppelte Dateiendung ".pdf.exe" getarnt ist. Es handelt sich um ein Trojanisches Pferd. Den verschiedenen Namen, die Antivirushersteller diesem Schädling gegeben haben, kann man zum Teil entnehmen, dass es sich wohl um Ransomware handelt.

Eleven berichtet zudem, parallel seien in spanischer Sprache verfasste Mails mit vorgeblichen Vodafone-Rechnungen verbreitet worden. Das passt zu den falschen Telekom-Rechnungen, die hierzulande verteilt worden sind. Sie kommen, ähnliche wie echte Telekom-Mails, mit einem Betreff wie "RechnungOnline Monat April 2013". Nur tragen die echten Telekom-Mails den aktuellen Monat im Betreff und enthalten auch keine ZIP-Datei, in der ein Schädling steckt.

gefälschte Facebook-Mail mit Malware-Anhang
Vergrößern gefälschte Facebook-Mail mit Malware-Anhang

Als wäre das noch nicht genug, versenden Online-Kriminelle auch noch gefälschte Facebook-Mails. Deren Betreff folgt dem Schema "NAME added a new photo with you to the album", wobei NAME für einen wechselnden Vor-und Nachnamen in Großbuchstaben steht. Im Anhang der Mails befindet sich eine etwa 57 KB große ZIP-Datei "Facebook Photo_nnnnnn", wobei "nnnnnn" für eine wechselnde Nummer steht. Darin steckt eine Programmdatei "Facebook Photo_875698.bmp.exe" – ein Trojanisches Pferd, aber immerhin keine Ransomware.

Es gilt also weiterhin wachsam zu sein, wenn unerwartete Mails mit Anhängen eintreffen. Nur zu oft steckt Malware darin.

0 Kommentare zu diesem Artikel
1770013