Die stärkste Spam-Welle der letzten 24 Stunden enthielt einen Link, der direkt zum Download eines Trojaners führte. Der Versand startete gestern (20.02.) und erreichte seinen vorläufigen Höhepunkt am heutigen Vormittag gegen 10 Uhr.
Verlauf der Ausbreitung der NACHA-E-Mails in den letzten 24 Stunden
Die Versender versuchen die Empfänger mit dem Hinweis “Account-Update” zum Klick auf den angegebenen Link zu verleiten. Um die E-Mail glaubhafter erscheinen zu lassen, wird das Logo des amerikanischen Dienstleisters NACHA verwendet. Dies wird seit der zweiten Hälfte des letzten Jahres verstärkt benutzt, um E-Mail-Empfänger zu einem unüberlegten Anklicken eines Links zu verleiten. Teilweise enthielten die E-Mails Viren-verseuchte Anhänge, teilweise führten sie zu infizierten Websites. Der Text der E-Mail ist im aktuellen Fall sehr kurz gehalten. Neben dem NACHA-Logo enthält sie nur einen Satz: Please click the link the NACHA site and update your user account:ID543247394
NACHA-E-Mail mit Verweis auf Trojaner
Folgt der Nutzer dieser Anweisung kommt er jedoch sofort zum Download einer unter Windows ausführbaren Datei. Im vom eleven Research-Team untersuchten Fall trägt sie die Bezeichnung yePkep9.exe.
Versuch des Downloads des Trojaners
Im Portal virustotal.com wird sie unter verschiedenen Bezeichnungen als Trojaner geführt. Die Schadsoftware wird von einer Domain mit Phantasienamen, die in Vietnam registriert ist, nachgeladen. Die Hauptverbreitungsländer liegen ebenfalls in Asien, es sind: Indien, Pakistan, Indonesien und Vietnam.
Trend: Drive-by-Malware
Das eleven Research-Team beobachtet die zunehmende Suche der Spammer und Virenversender nach unverfänglichen aber dennoch interessanten Themen, um die Nutzer zum Öffnen von E-Mails, Links und Anhängen zu verleiten. Oft wird vermutet, dass Spam-E-Mails mit pornografischen Anhang die höchste Öffnungsquote erzielen würden. Dies ist jedoch nicht der Fall. Vielmehr suchen die Spammer noch Themen des täglichen Lebens, die jeden betreffen könnten. Seit Langem dabei ganz vorn: angebliche Zustellbenachrichtigungen von den verschiedenen Paketdiensten. Der Empfänger solle den Anhang ausdrucken und den Anweisungen folgen, um seine Sendung zu erhalten. Ebenfalls beliebt: Gutscheine, Tickets, Benachrichtigungen von namhaften Online-Shops wie Amazon oder eben alle Rechnungsangelegenheiten. Die Storys in den Spam-Mails reichen von geplatzten Schecks über Rückbuchungen bis zu wenig konkreten Angaben, wie im aktuellen Fall. Die angehängte Schadsoftware variierte dabei. Im August letzten Jahres wurde der Trojaner Chepvil versandt. Zwischenzeitlich wurden auch schon einmal Phishingformulare verschickt.
Der aktuelle Fall passt in den Trend, Malware nicht mehr zu versenden, sondern durch Drive-by zu verbreiten. Dazu wird versucht, den Spam-Empfänger auf eine präparierte Internetseite zu locken. Dort wird ihm sozusagen im Vorbeigehen die Schadsoftware untergeschoben. Teilweise wird das System des Nutzers gescannt, um ihm speziell angepasste Schadsoftware unterzuschieben. Der aktuelle Trojaner befällt nur Windows-Systeme, dennoch kann durch das bereits besprochene Phoenix Exploit Kit auch Schadsoftware für den Mac OS X und Linux ausgeliefert werden.