Spam-Angriffe nutzen reale Bedrohungen als Köder

Trend Micro hat vor zwei Spam-Kampagnen gewarnt, deren Urheber reale Bedrohungen als Köder verwenden. Die vermeintlichen Absender der Spam-Nachrichten sind der Sicherheitsanbieter AlienVault Labs sowie ein Tibeter, der in New York lebt. Beide Attacken nutzen Sicherheitslücken aus und führen zu Infektionen mit Trojanern, die unter anderem persönliche Informationen wie Benutzernamen und Passwörter ausspionieren oder Schadcode auf den infizierten Systemen ausführen.

„In den Nachrichten, die vorgeben, von AlienVault zu kommen, werden die Empfänger vor der erwähnten bösartigen Kampagne gewarnt. Klicken sie auf den enthaltenen Link, werden sie auf eine Website geleitet, die JAVA_RHINO.AE herunterlädt“, schreibt Trend Micro. De facto hatte AlienVault zuletzt auf einen Trojaner namens Tibet.A aufmerksam gemacht, der sowohl Systeme mit Mac OS X als auch Windows attackiert. Diese JavaScript-Datei nutze eine Sicherheitslücke in der Java-Laufzeitumgebung aus und lege eine weitere Schadsoftware ab.

Eine zweite Variante prüft demnach erst das Betriebssystem auf dem betroffenen System, bevor die Datei dort abgelegt wird. Auf Windows-Systemen ist es TROJ_RHINO.AE, im Fall eines Mac-Betriebsystems ist es OSX_RHINO.AE. Beide Schädlinge verbinden sich mit einem Kommando- und Kontrollserver.

Die scheinbar von dem prominenten Tibeter stammenden Spam-Nachrichten warnen dagegen vor einer E-Mail-Kampagne, die angeblich in seinem Namen die Runde macht. Die Mails haben Trend Micro zufolge einen Anhang namens TenTips.doc. Wie schon in der ersten Kampagne enthalte die Datei einen Trojaner. Nach eigenen Angaben prüft der Sicherheitsanbieter derzeit, ob die Angriffe zusammenhängen und von denselben Hintermännern gesteuert werden. Als Warnungen getarnte sogenannte „Metaspam-Attacken“ nähmen offensichtlich zu und erweiterten das ohnehin schon große Arsenal an Social-Engineering-Tricks.

Trend Micro rät Anwendern dringend, ihre Systeme und Anwendungen auf dem aktuellen Stand zu halten und Sicherheitsaktualisierungen so schnell wie möglich zu installieren. Updates von Microsoft und Oracle lägen seit Längerem vor. Unternehmen, die sich vor Angriffen über Sicherheitslücken schützen wollen, aber aus Aufwands- und Kostengründen ihre Endpunkte nur in größeren zeitlichen Abständen aktualisieren können, empfiehlt der Sicherheitsanbieter, ihre Systeme „virtuell“ zu patchen – nicht ganz uneigennützig: Das Unternehmen bietet dafür mit „Deep Security“ und „OfficeScan“ selbst zwei Lösungen an.

[mit Material von Peter Marwan, ITespresso.de]