print logo

In Spam-Mails versteckte Trojaner stehlen massenhaft Passwörter

Simulierte Konto- und Kreditkartenaktivitäten und vermeintliche Auftragsbestätigungen von Online-Shops.
marketing-BÖRSE | 25.08.2006
In den vergangenen Stunden wurde der Empfang einer großen Anzahl von Spam-Mails registriert. Simulierte Konto- und Kreditkartenaktivitäten sowie vermeintliche Auftragsbestätigungen von Online-Shops verleiten User dazu, auf den Betrug reinzufallen.

Gleich zwei verschiedene Trojaner bergen ihre betrügerischen Absichten unter dem Deckmantel scheinbar seriöser Bankunternehmen und Online-Shops, um für ihre Programmierer zugangsrelevante Daten zu verschiedenen Online-Services zu erlangen und Identitätsdiebstahl zu begehen.

Der erste Trojaner, „Downloader.KBR“, tarnt sich als Auftragsbestätigung einer Online-Bestellung, die vom User getätigt worden sein soll. Von der empfangenen Nachricht irritiert, öffnen viele User die angehangene Datei (WC9921564.exe), um nähere Informationen zu der vermeintlichen Bestellung zu erhalten. Dort jedoch befindet sich der Schädling.

An folgenden Merkmalen kann der Eindringling erkannt und vom Rechner verbannt werden:

Betreff: Order Confirmation Number: WC9921564
Text (in englischer Sprache): Im Textkorpus bedankt sich ein Mitarbeiter des Online-Shops für die eingegangene Bestellung, bestätigt den Auftrag und klärt den Empfänger über die Lieferkonditionen auf.

Verbirgt sich im Anhang einer elektronischen Nachricht die Datei „paycheck_322082“, sollten User ebenso wachsam sein, denn in dieser versteckt sich der zweite Trojaner, der momentan massiv verbreitet wird. In diesem Fall wird der Anwender mit einer fragwürdigen Zahlung über seine Kreditkarte konfrontiert. Erkennungsmerkmale sind:

Betreff: [paycheck 322082] Credit Card Chargeback
Text (in englischer Sprache): Der Mitarbeiter des Kreditkarteninstitutes hat angeblich, aufgrund einer zweifelhaften Abbuchung, Probleme mit den Abrechnungsmodalitäten und fordert den User auf, eine E-Mail an eine vorgegebene Adresse zu schicken, um den Fall zu klären.

Zusätzlichen zu den beiden schon bekannten Versionen, gehen die PandaLabs aber auch davon aus, dass sowohl der gesamte Text als auch die Sprache variieren, da die infizierten Nachrichten manuell versendet werden. „Das scheint uns eine sehr effektive Form der Social Engineering Methode zu sein. Statt mit tollen Gewinnen oder hübschen Frauen zu locken, versuchen die Betrüger die Empfänger der Mails zu erschrecken und sich ihre Angst vor finanziellen Verlusten zu Nutze zu machen“, erklärt Luis Corrons, Leiter der Panda Software Labore, die Vorgehensweise der Internet-Diebe.

Beide Trojaner gehen nach der gleichen Methode vor: Öffnet der User den schädlichen Inhalt, laden sie einen weiteren Trojaner, „Spyforms.A“. Dieser sucht nach IP Adressen und Zugangscodes für diverse Internet-Services. Mit den entwendeten Daten kann der Programmierer im Netz die Identität des Opfers annehmen und in seinem Namen illegale Geschäfte tätigen. Wird seine Spur verfolgt, hat er keine Konsequenzen zu befürchten – ganz im Gegenteil zum betroffenen User.
Logo of marketing-BÖRSE
Über marketing-BÖRSE

Das Dienstleisterverzeichnis marketing-BÖRSE ist das größte deutschsprachige Spezialverzeichnis für Marketing.