Bitdefender warnt vor einer gefälschten E-Mail die den Eindruck erweckt, vom Express-Paketdienst FedEx zu stammen. In ihr wird vorgegeben, dass ein vor einem Monat verschicktes Paket nicht zugestellt werden konnte. Daher solle der Empfänger die angehängte Rechnung ausdrucken und das Paket bei FedEx abholen. Statt der angeblichen Rechnung findet sich im Anhang der Nachricht ein Archiv, das eine Variante des Trojaners „Trojan.Spy.ZBot“ enthält.
Die Malware wurde laut Bitdefender speziell entwickelt, um vertrauliche Online-Banking-Daten zu stehlen. Nachdem ein System infiltriert wurde, installiert sie sich im Verzeichnis „WindowsSystem32“. Dort erzeugt sie den als Rootkit verborgenen Ordner „wsnpoem“, in den dann verschlüsselte ntos.exe-, audio.dll- und video.dll-Dateien geschrieben werden. Sie dienen Konfigurations- und Speicherzwecken.
Darüber hinaus erstellt die Malware einen Registry-Eintrag, der bei jedem Windows-Start dafür sorgt, dass sie automatisch ausgeführt wird. Um die vertraulichen Online-Banking-Daten abzugreifen, schreibt das Schadprogramm Code in die winlogon.exe- und iexplorer.exe-Prozesse, der bewirkt, dass eine oder mehrere Dateien von einem Remote-Server heruntergeladen werden. Diese Dateien nutzt die Malware zur Speicherung von Daten, die sie abfängt, während sie Aktivitäten des Web-Browsers überwacht.
„ZBot und seine Familie verursachen potenziell immer mehr Schaden, weil sie die Firewall deaktivieren, vertrauliche Bankdaten wie Kreditkarten- und Kontonummern sowie Log-in-Details stehlen, Screenshots erstellen und Protokolle aktueller Sessions erzeugen können“, erklärt Sorin Dudea, Leiter der Antimalware Research von Bitdefender. Zudem könne der Schädling weitere Komponenten nachladen und Cyberkriminellen den Zugriff auf das infizierte System ermöglichen. Daher empfehle Bitdefender allen Anwendern, grundsätzlich keine Anhänge von unaufgefordert zugesandten Mails zu öffnen.
Bereits im Juli und August waren gefälschte E-Mails des Paketdienstes UPS im Umlauf, die Empfänger mit derselben Masche wie die angeblichen FedEx-Mails zum Öffnen des trojanerverseuchten Anhangs bewegen wollten. „Es ist ähnlich wie bei einem Hollywood-Film: War der erste Teil ein Kassenschlager, gibt es garantiert eine Fortsetzung. Auch bei Spam- und Phishing-Mails setzen die Täter auf bereits erfolgreiche Maschen“, hatte Ralf Benzmüller, Leiter des G-Data Security Lab, damals gesagt.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…