Die Welle des Drive-by-Spam dauert an. Dabei handelt es sich um HTML-E-Mails, welche schon beim Anzeigen im E-Mail-Client über ein JavaScript Malware aus dem Internet auf den Rechner des Nutzers lädt. Die Infektion geschieht dabei ähnlich wie bei Drive-by-Downloads, ohne dasss der Umweg über den Web-Browser genommen wird. Im Gegensatz zu klassischen Verbreitungsmethoden von Malware muss hierbei kein Anhang geöffnet und kein Link angeklickt werden – der Malware-Download wird schon durch das Öffnen der Nachricht aktiviert. Drive-by-Spam stellt eine neue Qualität der Bedrohung durch Malware-infizierte Spam-E-Mails dar. E-Mail-Nutzer können sich schützen, indem sie einen wirksamen Spam- und Virenschutz einsetzen und ihren E-Mail-Client so konfigurieren, dass HTML-E-Mails nicht angezeigt werden. In diesem Fall erscheint der HTML-Inhalt als Anhang, ein bloßes Öffnen der E-Mail führt dann nicht zur Infektion.
Wird die HTML-Seite geöffnet, wird automatisch versucht, Malware auf den Rechner zu laden.
Die aktuelle Welle, welche das eleven Research-Team erstmals in der Nacht vom 25. auf den 26. Januar 2012 entdeckte, enthält die Betreffzeile „Banking security update“, Absenderadresse war die Domain fdic.com, eine amerikanische Versicherung. Die Spammer haben sich nicht einmal die Mühe gemacht, den Text früherer Kampagnen zu ändern, denn da ist noch von „Your Wire and ACH transactions have been temporarily suspended. Please open the attached document for more information.“ die Rede. Der letzte Satz lautete jedoch „Best regards, Online security department Federal Deposit Insurance Corporation“. Je nach Einstellung des E-Mail-Clients wird der zugrunde liegende HTML-Code sofort ausgeführt. Der Anwender sieht das nur den Hinweis „Please wait … Loading“. In der Zwischenzeit wird versucht über mehrere Umleitungen den Rechner zu scannen und Schadsoftware zu laden.
Spammer versuchen, Ziel-URL zu verschleiern
Um die Erkennung der Schadcode-Links zu erschweren, wurde der HTML-Code wieder per JavaScript verschleiert. In einer ersten Stufe wurde über Austausch-Routinen die eigentliche Ziel-URL unkenntlich gemacht. Es handelt sich um eine russische Website, auf der ein PHP-Script die weitere Arbeit übernimmt. Die eigentliche Schadsoftware liegt jedoch nicht auf dieser Seite sondern auf einer anderen Domain. Ruft man diese URL auf, findet man – wie leider oft in solchen Fällen – einen schlecht gepflegten Webauftritt inklusive Content Management System, welches nicht aktuell ist und somit Sicherheitslücken aufweist. Über die Angabe eine speziellen Ports (hier 8801) wird für die Anfragen der Spammer ein besonderer Zugang geschaffen. Dort wird das sogenannte Phoenix-Exploit-Kit benutzt, um Sicherheitslücken auf dem Zielrechner zu finden.
Malware kommt über mehrere Etappen
Weitere Untersuchungen ergaben, dass die Website erst seit 16. Januar 2012 existiert. Angemeldet wurde sie über einen russischen Registrar, aber die dahinter liegende IP-Adresse befindet sich in den USA.
Whois-Eintrag der Domain
Zusammenfassend lässt sich feststellen: Die Kriminellen benutzen einen möglichst bekannten und seriösen Namen, um den E-Mail-Empfänger zum Öffnen des Anhangs zu bewegen. Im Vertrauen darauf, dass die meisten E-Mail-Clients sofort den HTML-Code ausführen, wird über diesen eine zwischengeschaltete Seite angesteuert. Diese existiert nur kurze Zeit, da verdächtige Websites erfasst werden. Sollte diese Seite in einer Liste der Malware-Versender auftauchen, kann schnell zu einer neuen gewechselt werden.
Pingback: Driveby-Spam ist neue Internetgefahr – Banking Security Update
Pingback: Phishing: Fünf Tipps zum Erkennen betrügerischer E-Mails » eleven-securityblog.de
Nur für mein Verständnis:
Da Javascript in Outlook (2007+2010) grundsätzlich nicht unterstützt wird und in (aktuellen Versionen von) Thunderbird standardmässig deaktiviert ist, kann der Angriff da gar NICHT funktionieren – oder?
Sprich primär sind eigentlich “nur” Webmail-User betroffen?
Und sind dann alle Browser anfällig? Oder blocken das aktuelle Browser eh? Weil meines Erachtens wäre das ja eine Sicherheitslücke und die Browserhersteller werden es sicher raschmöglichst fixen.
Danke für die Aufklärung!
Herzlichen Dank für Ihren Hinweis. Wenn Sie JavaScript nicht aktivieren oder generell keine HTML-Ansicht in ihrem E-Mail-Client aktiviert haben, dann haben die Viren/Trojaner keine Chance. Leider kennen wir die Programme (-einstellungen) der Nutzer nicht. Dazu zählt generell das verwendete E-Mail-Programm, dessen Aktualität, aber auch das Update-Verhalten. Eine kurze Suche im Netz zeigte uns, dass ein Bedarf besteht JavaScript im Browser auszuführen (siehe: http://social.technet.microsoft.com/Forums/en-US/outlook/thread/cc08cc0f-36ae-4f2e-a403-3b721a58a3e8/) obwohl wir es als Sicherheitsexperten nicht so gern sehen. Bequemlichkeit steht für die meisten E-Mail-Nutzer im Vordergrund und so werden dann die sicheren Standard-Einstellungen geändert. Auch wenn die betreffende Datei im E-Mail-Programm nicht ausgeführt wird, so ist der Browser (leider) nur einen Doppelklick entfernt. Mit etwas „Überredung“ (siehe aktuellen Blogeintrag) hat der E-Mail-Empfänger voreilig auf den Anhang geklickt. Im Falle der Webmail-Anbieter sollten die jeweiligen Anbieter dafür sorgen, dass Programmcode jedweder Art in E-Mails nicht ausgeführt wird.
Pingback: JavaScript im E-Mail-Anhang – Neue Spam-Technik aus altem Botnet » eleven-securityblog.de
Pingback: NACHA-E-Mails verweisen direkt auf Trojaner-Download » eleven-securityblog.de
Pingback: » 5 Tipps für effektiveres B2B-E-Mail-Marketing Campfire