Wer einmal Großbritannien besucht hat, der hat wahrscheinlich auch bei Sainsbury’s eingekauft oder zumindest einen der Supermärkte gesehen. Sainsbury’s ist eine der großen Supermarktketten in Großbritannien und verkauft fast alles von Lebensmitteln, über Möbel bis zu Elektronik, seit einiger Zeit auch online. Mit anderen Worten: Sainsbury’s ist eine wohlbekannte Marke in Großbritannien. Dies versuchten Malware-Versender gestern auszunutzen und verschickten gefälschte Bestellbestätigungen. Die Betreffzeile lautete: „Sainsbury’s Entertainment Order 6948061 Received“.
Es folgte eine umfangreiche E-Mail, die vermutlich aus einer Original-Bestellbestätigung kopiert wurde. Neben den Lieferbedingungen enthielt die E-Mail auch Links zu einer Originalwebsite von Sainsbury’s, in diesen Falle zu www.sainsburysentertainment.co.uk. Dort solle man sich einloggen, um die Bestellung zu prüfen oder ändern. Zusätzlich sei die komplette Bestellung nochmal im Anhang aufgeführt. Dieser war mit Sainsburys Entertainment Order Details.zip benannt. Nach dem Entpacken der Anhangs erhielt man scheinbar ein PDF-Dokument, welches jedoch bei genauem Hinsehen (bekannte Dateiendungen einblenden) eine ausführbare Datei (.exe) war. Durch Doppelklick auf die Datei würde sich nicht der PDF-Viewer öffnen, sondern ein Trojaner (Agent.91136.89) installiert werden. Details zur Schadsoftware finden sich unter virustotal.
Das Trojaner-Mailing wurde in zwei kurzen, aber heftigen Wellen versendet und machte am gestrigen Mittwoch (24.04.) knapp über 40 Prozent der Kategorie Virus aus, in der bei Eleven alle Arten von per E-Mail verbreiteter Schadsoftware zusammengefasst werden.
Lokalisierter Spam schwerer erkennbar
Bereits mehrfach haben wir über den Trend zu lokalisierten Malware-, Phishing- und Spam-Kampagnen berichtet. Dass dieser sich nicht nur auf deutschsprachige Länder beschränkt, zeigt die derzeitige Kampagne, die gezielt auf britische Empfänger ausgerichtet ist. Die erste Herausforderung für die Versender ist das Finden einer interessanten Betreffzeile. Und hier setzt bereits die Lokalisierung ein: Bekannte Marken des jeweiligen Landes oder auch länderspezifische Events sind dabei der ideale Köder. Das Kopieren der jeweiligen Original-E-Mails ist dabei in doppelter Hinsicht lohnend: Zum einen vermeidet man Fehler in der jeweiligen Sprache, wie sie bei einer automatischen Übersetzung auftreten. Zum anderen trickst man Spam-Filter, die nur auf Link-Erkennung setzen, aus. Im aktuellen Beispiel führen Verweise auf die Originalseiten von Sainsbury und haben somit eine gute Reputation. Für den Empfänger bestünde theoretisch keine Veranlassung, den Anhang zu öffnen, denn er könnte seine Bestellung auf der Sainsbury-Website prüfen. Doch hier setzen die Versender auf Bequemlichkeit: Es scheint immer noch einfacher den Anhang zu öffnen, als sich auf der Sainsbury’s-Website einzuloggen.
Abschließend bleibt nur das Eleven-Sicherheits-Mantra zu wiederholen: Öffnen Sie keine Anhänge von unbekannten und unerwarteten E-Mails und folgen Sie keinen Links in solchen E-Mails (auch wenn das in diesem Falle keine negativen Konsequenzen gehabt hätte).