Die Kriminellen hinter dem bekannten Storm-Botnet haben auch im Juli nichts unversucht gelassen, um ihr Netzwerk aus Zombie-Rechnern weiter auszubauen. Über eingebettete Links in Spam-E-Mails soll der arglose Anwender dazu verleitet werden, eine Webseite zu besuchen, von der aus die Infektion mit Malware gestartet wird. Die Besonderheit bei Storm liegt im häufigen Wechsel der Social-Engineering-Tricks: Im Juli entdeckte Trend Micro Spam-E-Mails mit angeblichen Neuigkeiten zum Terrornetzwerk von Osama bin Laden, einer bevorstehenden weltweiten Finanzkrise, einer Terroristenfahndung des FBI auf der Social-Networking-Seite Facebook sowie dem Beginn des Dritten Weltkrieges durch einen iranischen Angriff auf die USA.
Durch den stetigen Wechsel der Social-Engineering-Themen versuchen die Storm-Kriminellen zweierlei zu erreichen: Einerseits steigt durch den aktuellen Bezug die Chance, dass Anwender ihrer Neugierde nachgeben. Andererseits könnte dies auch der Versuch sein, die unvermeidliche Blockade durch Anti-Spam-Lösungen etwas hinauszuzögern.
El-Kaida-Anschlag in Peru?
Im Juli 2008 identifizierte Trend Micro unter anderem Spam-E-Mails, die mit einem angeblichen Video zu einem El-Kaida-Anschlag in Peru auf sich aufmerksam machten. Die E-Mails in spanischer Sprache sind im Stil von CNN en Español bzw. El Commercio aufgemacht, beides sind in Lateinamerika populäre News-Seiten. Der Link zu dem angeblichen Video startet einen Download, der den Trojaner TROJ_DROPPER.ODZ auf das System lädt. Über das Trend Micro Smart Protection Network waren Anwender innerhalb kürzester Zeit vor diesem und anderen Social-Engineering-Tricks geschützt. Sobald ein neuer Angriffsversuch auch nur ein einziges Mal entdeckt wurde, blockiert das Smart Protection Network weltweit alle weiteren Attacken bei Trend Micro Kunden.
Zustellung gescheitert: Trend Micro entdeckt gefälschte UPS-Nachrichten
Immer öfter nutzen Konsumenten in Europa private Paketservices wie UPS und andere Anbieter. Für die Kundenkommunikation setzen solche Dienstleister oftmals auf E-Mails, um zum Beispiel über den Stand einer Sendung zu informieren. Die Malware-Szene nimmt dies als Vorlage für ihr Social Engineering: Viele Computernutzer erhielten im Juli eine angebliche UPS-Benachrichtigung über ein unzustellbares Paket. Bei dem angehängten Abholschein handelt sich in Wirklichkeit um die Spyware TSPY_ZBOT.PF.
Die Malware lädt eine verschlüsselte Konfigurationsdatei mit URLs aus dem Bankenbereich herunter. Sobald ein Anwender eine dieser URL aufruft, zeichnet die Spyware alle Tastatureingaben auf und verschickt das Protokoll an eine Internetseite. Das immense Schadenspotenzial dieses Angriffes ist offensichtlich. Über das Trend Micro Smart Protection Network sind Anwender bereits geschützt.
Angelina Jolie dreht keine Nacktfilme
Weder originell noch subtil, aber trotzdem wirksam: Mit dem Versprechen angeblicher Nacktvideos weiblicher Stars und Sternchen lassen sich immer noch Anwender zum Klick auf einen Link bewegen. Im Juli 2008 versuchte es die Malware-Szene mit der Schauspielerin Angelina Jolie: Der in einer Spam-E-Mail eingebettete Link führte natürlich nicht zu einem Video, sondern zum Download des Trojaners TROJ_DLOAD.DI, der wiederum für die Installation von Spyware bekannt ist. Kunden von Trend Micro sind mit den Sicherheitslösungen der Smart-Protection-Network-Technologie bereits geschützt.
Weitere Informationen zu aktuellen Web-Bedrohungen sind unter http://blog.trendmicro.com/ verfügbar.