BitDefender, international mehrfach ausgezeichneter Anbieter von Antiviren-Software und Sicherheitslösungen, warnt vor einer neu entdeckten Spam-Attacke gegen Privatnutzer. Diese tarnt sich als angebliche Zustellung von E-Tickets und Rechnungen, die im Rahmen eines so bezeichneten "Buy Airplane Ticket Online"-Service angeblich erworben wurden. Diese Nachrichten, die im Anhang des E-Tickets eine ZIP-Datei enthalten, haben eine neue, gefährlichere Malware im Gepäck.
Die derzeitige Attacke, die Ähnlichkeiten zur Angriffswelle Anfang des Sommers aufweist, macht sich die Tatsache zunutze, dass viele Menschen im Herbst noch einen Urlaub planen. Bei dieser Attacke, die wahrscheinlich dieselben kriminellen Urheber wie die vorherige hat, handelt es sich um ein Massen-Mailing mit "geborgtem" Anschreiben und zusätzlichen Bestandteilen, die den Empfänger zum Öffnen der ZIP-Datei verleiten sollen.
Anstelle der im Juli bekannt gewordenen Attacke, die "Jet Blue Airways" als Absender vorgab, nimmt die aktuelle Welle die führenden US-Fluggesellschaften und andere Betreiber ins Visier, die Himmelsrichtungen in ihren Namen enthalten. Die gefälschten Nachrichten wurden besonders häufig im Namen angeblicher Betreiber verschickt, die regional, nur innerhalb der USA oder im Charter-Geschäft tätig sind.
Die Attacke beinhaltet primär die bereits bekannten Trojan.Spy.Zbot.KJ und Trojan.Spy.Wsnpoem.HA. Des Weiteren wurde der Trojaner Trojan.Injector.CH bei diesen Angriffen identifiziert. Diese Viren kamen erst kürzlich bei Attacken gegen führende Express-Zustelldienste zum Einsatz.
Die beim jetzigen Angriff verwendeten Viren verfügen über Rootkit-Komponenten, mit deren Hilfe sie sich auf den infiltrierten Rechnern entweder im Windows-Verzeichnis oder im Programmdateiverzeichnis installieren und verbergen. Sie schreiben in verschiedene Prozesse eigenen Code und fügen der Microsoft Windows-Firewall Ausnahmeregeln hinzu, mit denen sich die Firewall umgehen und der heimliche Zugriff auf externe Server herstellen lässt. Sie übermitteln allesamt vertrauliche Informationen und rufen Befehle des externen Angreifers von verschiedenen Ports ab. Die Trojaner versuchen überdies, eine Verbindung mit Servern herzustellen, deren Domänennamen anscheinend in der Russischen Föderation registriert sind, um von dort Dateien herunterzuladen.
"Benutzer sollten sich darüber im Klaren sein, dass die Integrität ihrer Systeme ohne eine geeignete Sicherheitslösung extrem gefährdet ist", kommentiert Sorin Dudea, Leiter der Antimalware Research bei BitDefender. "Die Trojaner, die mit dieser erneuten Malware-Welle verbreitet werden, und die hohe Infizierungsrate stellen wieder einmal den Erfindungsreichtum der Cyberkriminellen unter Beweis. Zugleich dokumentieren sie aber auch das fehlende Interesse vieler Benutzer, was die Absicherung von Rechnern und den Schutz vertraulicher Daten anbelangt."
Die derzeitige Attacke, die Ähnlichkeiten zur Angriffswelle Anfang des Sommers aufweist, macht sich die Tatsache zunutze, dass viele Menschen im Herbst noch einen Urlaub planen. Bei dieser Attacke, die wahrscheinlich dieselben kriminellen Urheber wie die vorherige hat, handelt es sich um ein Massen-Mailing mit "geborgtem" Anschreiben und zusätzlichen Bestandteilen, die den Empfänger zum Öffnen der ZIP-Datei verleiten sollen.
Anstelle der im Juli bekannt gewordenen Attacke, die "Jet Blue Airways" als Absender vorgab, nimmt die aktuelle Welle die führenden US-Fluggesellschaften und andere Betreiber ins Visier, die Himmelsrichtungen in ihren Namen enthalten. Die gefälschten Nachrichten wurden besonders häufig im Namen angeblicher Betreiber verschickt, die regional, nur innerhalb der USA oder im Charter-Geschäft tätig sind.
Die Attacke beinhaltet primär die bereits bekannten Trojan.Spy.Zbot.KJ und Trojan.Spy.Wsnpoem.HA. Des Weiteren wurde der Trojaner Trojan.Injector.CH bei diesen Angriffen identifiziert. Diese Viren kamen erst kürzlich bei Attacken gegen führende Express-Zustelldienste zum Einsatz.
Die beim jetzigen Angriff verwendeten Viren verfügen über Rootkit-Komponenten, mit deren Hilfe sie sich auf den infiltrierten Rechnern entweder im Windows-Verzeichnis oder im Programmdateiverzeichnis installieren und verbergen. Sie schreiben in verschiedene Prozesse eigenen Code und fügen der Microsoft Windows-Firewall Ausnahmeregeln hinzu, mit denen sich die Firewall umgehen und der heimliche Zugriff auf externe Server herstellen lässt. Sie übermitteln allesamt vertrauliche Informationen und rufen Befehle des externen Angreifers von verschiedenen Ports ab. Die Trojaner versuchen überdies, eine Verbindung mit Servern herzustellen, deren Domänennamen anscheinend in der Russischen Föderation registriert sind, um von dort Dateien herunterzuladen.
"Benutzer sollten sich darüber im Klaren sein, dass die Integrität ihrer Systeme ohne eine geeignete Sicherheitslösung extrem gefährdet ist", kommentiert Sorin Dudea, Leiter der Antimalware Research bei BitDefender. "Die Trojaner, die mit dieser erneuten Malware-Welle verbreitet werden, und die hohe Infizierungsrate stellen wieder einmal den Erfindungsreichtum der Cyberkriminellen unter Beweis. Zugleich dokumentieren sie aber auch das fehlende Interesse vieler Benutzer, was die Absicherung von Rechnern und den Schutz vertraulicher Daten anbelangt."
