Trojanisches Pferd kommt als Zahlungsaufforderung

Der aktuelle Trend zur Verbreitung von Malware per Mail hält weiter an. Zurzeit werden englisch-sprachige Zahlungsaufforderungen verschickt, die vorgeblich von sehr unterschiedlichen Unternehmen kommen. Das Spektrum reicht von Autovermietungen und Fluglinien über Google und HP bis Steinway & Sons. Alle Mails bringen die gleiche ZIP-Datei mit, die ein Trojanisches Pferd zum Ausspähen von Bankdaten enthält.

Die Mails kommen mit einem Betreff wie 'payment request from "firmenname"' und gefälschten Absenderangaben mit Domains wie "bankmailing.com", "supportbankmailing.com" und dergleichen. Im Text heißt es, man habe ein Zahlungsaufforderung der Firma xy registriert. Die zu zahlende Summe betrage soundsoviel US-Dollar. Der genannte Betrag variiert von Fall zu Fall, mal sind es 17 Dollar, mal bis zu mehreren tausend. Die Zahlen sind offenbar zufällig generiert - zuweilen sind auch führende Nullen dabei ("$060.11").

Falls sie die Zahlung stornieren wollen, sollen die Empfänger den Anhang öffnen und ein "transaction inspector module" installieren. Der Anhang trägt den Dateinamen "module.zip" und ist etwa 16 KB groß. Darin steckt eine knapp 19 KB große Datei namens "module.exe" - ein Trojanisches Pferd.