Am Montag, den 18. Februar registrierte das Eleven Research-Team einen starken Ausbruch unbekannter Malware. Gemeinsames Merkmal aller E-Mails war die Erwähnung des Gütesiegels Trusted Shops. Die Betreffzeilen lauteten „Zahlungsbestätigung für Käuferschutz TS369C-2172146666188. Trusted Shops Deutschland GmbH“ oder es wurde direkt ein Online-Shop erwähnt, beispielsweise: „Käuferschutz TS689C-5047642656087 zur Bestellung bei Smartbuyglasses.de“. Die E-Mail selbst enthielt in den untersuchten Samples nur eine Textzeile wie „Ihre Rechnung finden Sie in unserer Online-Rechnungsbeilage als ZIP-Datei.“ oder ähnlich.
Die Anhänge sind häufig mit Online_Bestellung.exe benannt. Sie enthalten einen Trojaner der von AVIRA mit Strictor.EB benannt wurde, Commtouch benennt ihn mit 3.ETZ. Die Schadsoftware ist auf Windows-Systemen lauffähig, weitere Informationen finden sich bei Virustotal.com. Der Trojaner stammt fast ausschließlich von deutschen IP-Adressen.
Trusted Shops – Ein Gütesiegel für den vertrauensvollen Internet-Einkauf
Besonders auffällig an allen E-Mails ist die Verwendung des in Deutschland weit verbreiteten Trusted Shops Gütesiegels, das auf vielen Interseiten verwendet wird.
Nach eigenen Angaben ist „ … Trusted Shops mit der Kombination aus Zertifizierung, Gütesiegel, Käuferschutz und Kundenservice eine Lösung zum beidseitigen Nutzen der Shopbetreiber wie der Verbraucher.“ In diesem Falle reicht die bloße Erwähnung des Namens bereits aus, um eine erste Hürde zu überwinden, denn der Empfänger muss die E-Mail öffnen und lesen. Klickt er dann noch auf den Anhang, um die angebliche Rechnung zu öffnen, ist der Rechner infiziert.
Dennoch weisen die Trojaner-E-Mails bekannte Merkmale auf: Keine direkte Anrede und auch keine individuellen Bezüge wie Rechnungsnummern, Kundennummern oder ähnliches. In einigen Fällen wurden die deutschen Umlaute nicht korrekt dargestellt.
Lokalisierung von Schadsoftware
Häufig wies das Eleven Research-Team auf die Lokalisierung von Spam- und Malware-E-Mails hin. Dies bedeutet vor allem auch landesspezifische Eigenarten zu kennen, wie in diesem Falle das Trusted Shops Gütesiegel. Weitere landesspezifische Eigenarten sind Termine und Veranstaltungen, die in den Medien des jeweiligen Landes meist im Voraus angekündigt werden – so gibt es bereits eine gewisse Aufmerksamkeit für das Thema.
Zwei Tipps zum Umgang mit verdächtigen E-Mails:
- Lassen Sie sich immer den kompletten Dateinamen inklusive Dateiendung anzeigen. Für MS Windows finden Sie diese Option im Windows-Explorer unter dem Punkt Organisieren > Ordner- und Suchoptionen > Ansicht. Unter dem Punkt Erweiterungen bei bekannten Dateiendungen ausblenden darf kein Haken sein.
- Wenn Sie Rechnungen von bekannten Dienstleistern oder Shops erhalten aber unsicher sind, weil Ihnen die E-Mail verdächtig vorkommt, nehmen Sie den Umweg über die Website des jeweiligen Anbieters. In fast allen Fällen finden Sie im Kundenbereich auch Ihre aktuellen Rechnungen.
Diese Malware-Kampagne passt zum Trend, den das Eleven Research-Team in letzter Zeit verstärkt beobachten konnte: Der Eleven E-Mail Security Report Februar beispielsweise zeigte, dass jede sechzigste E-Mail im Januar 2013 Schadsoftware enthielt.