In den letzen 24 Stunden wurde der
Empfang einer großen Anzahl von
Spam-Mails registriert. Simulierte
Konto- und Kreditkartenaktivitäten sowie
vermeintliche Auftragsbestätigungen von
Online-Shops verleiten User dazu, auf
den Betrug reinzufallen.
Gleich zwei verschiedene Trojaner
bergen ihre betrügerischen Absichten
unter dem Deckmantel scheinbar seriöser
Bankunternehmen und Online-Shops, um für
ihre Programmierer zugangsrelevante
Daten zu verschiedenen Online-Services
zu erlangen und Identitätsdiebstahl zu
begehen.
Der erste Trojaner, „Downloader.KBR“,
tarnt sich als Auftragsbestätigung einer
Online-Bestellung, die vom User getätigt
worden sein soll. Von der empfangenen
Nachricht irritiert, öffnen viele User
die angehangene Datei (WC9921564.exe),
um nähere Informationen zu der
vermeintlichen Bestellung zu erhalten.
Dort jedoch befindet sich der Schädling.
An folgenden Merkmalen kann der
Eindringling erkannt und vom Rechner
verbannt werden:
Betreff: Order Confirmation
Number: WC9921564
Text (in englischer Sprache): Im
Textkorpus bedankt sich ein Mitarbeiter
des Online-Shops für die eingegangene
Bestellung, bestätigt den Auftrag und
klärt den Empfänger über die
Lieferkonditionen auf.
Verbirgt sich im Anhang einer
elektronischen Nachricht die Datei
„paycheck_322082“, sollten User ebenso
wachsam sein, denn in dieser versteckt
sich der zweite Trojaner, "Downloader.KCC",
der momentan massiv verbreitet wird. In
diesem Fall wird der Anwender mit einer
fragwürdigen Zahlung über seine
Kreditkarte konfrontiert.
Erkennungsmerkmale sind:
Betreff: [paycheck 322082] Credit
Card Chargeback
Text (in englischer Sprache): Der
Mitarbeiter des Kreditkarteninstitutes
hat angeblich, aufgrund einer
zweifelhaften Abbuchung, Probleme mit
den Abrechnungsmodalitäten und fordert
den User auf, eine E-Mail an eine
vorgegebene Adresse zu schicken, um den
Fall zu klären.
Zusätzlichen zu den beiden schon
bekannten Versionen, gehen die PandaLabs
aber auch davon aus, dass sowohl der
gesamte Text als auch die Sprache (in
diesen Fällen Englisch) variieren, da
die infizierten Nachrichten manuell
versendet werden. „Das scheint uns eine
sehr effektive Form der Social
Engineering Methode zu sein. Statt mit
tollen Gewinnen oder hübschen Frauen zu
locken, versuchen die Betrüger die
Empfänger der Mails zu erschrecken und
sich ihre Angst vor finanziellen
Verlusten zu Nutze zu machen“, erklärt
Luis Corrons, Leiter der Panda Software
Labore, die Vorgehensweise der
Internet-Diebe.
Beide Trojaner gehen nach der gleichen
Methode vor: Öffnet der User den
schädlichen Inhalt, laden sie einen
weiteren Trojaner, „Spyforms.A“.
Dieser sucht nach IP Adressen und
Zugangscodes für diverse
Internet-Services. Mit den entwendeten
Daten kann der Programmierer im Netz die
Identität des Opfers annehmen und in
seinem Namen illegale Geschäfte tätigen.
Wird seine Spur verfolgt, hat er keine
Konsequenzen zu befürchten – ganz im
Gegenteil zum betroffenen User.
Die proaktiven Technologien von
TruPrevent – in allen Panda Software
Produkten integriert – konnten beide
Trojaner aufspüren und blocken.