PDF-Malware tarnt sich als Xerox-Scan

Sicherheitsforscher warnen vor einem neuen Trick von Cyberkriminellen. Derzeit kursieren Mails mit scheinbar automatisch generierten Nachrichten von Xerox-Druckern, die im Anhang eine Schadsoftware transportieren.

Das PDF stammt vorgeblich von einem Xerox Workcenter Pro. Diese Art von Druck- und Kopierstation setzen zahlreiche Unternehmen ein.

Die Datei mit einem Namen nach dem Muster 02-02-2011-43.pdf ist präpariert, um die Lücken CVE-2007-5659, CVE-2008-2992, CVE-2009-0927 und CVE-2009-4324 anzugreifen. Gelingt ihr dies, installiert sie entweder ein Downloadprogramm für einen Trojaner oder eine Scareware, die zum Kauf einer – bestenfalls nutzlosen – Sicherheitssoftware auffordert.

Die Datei wirkt auf den ersten Blick für Nutzer echt, die an automatische Nachrichten in englischer Sprache gewöhnt sind. Sie führt eine Reihe von Dokumenteneigenschaften in Listenform an, auch wenn die wenigsten sinnvoll belegt sind („Sent by: Guest“). Selbst ein imaginärer Gerätename „XERX911818091004676018486“ steht im Text.

Gegen die Angriffe hilft eine aktuelle Antivirensoftware, die eingehende Mails scannt, ebenso wie ein PDF-Reader auf dem neusten Stand. Außerdem enttarnt ein genauer Blick auf den Text die Nachricht, zum Beispiel das merkwürdige „It“ als zweites Wort des Fließtexts: „Hello, It was scanned and sent to you using a Xerox WorkCentre Pro. Please open the attached document.“ Auch schreiben die Kriminellen immer häufiger den Namen Xerox mit einer Null statt einem O, um inzwischen schon aktualisierten Spamfiltern zu entgehen.