Neue Spam-Welle mit ‘WeTransfer’-Trojaner im Anhang

Heute noch eine dringende Warnung an Windows-Nutzer vor E-Mail-Anhängen. Wer einen vorgeblich über WeTransfer bereitgestellten Anhang erhält, läuft Gefahr, sich einen Trojaner einzufangen.


Anzeige

WeTransfer ist eigentlich ein sinnvoller Dienst, mit dem man große Dateien per Mail verschicken kann – der Nutzer bekommt eine Mail von WeTransfer mit einem Link, um die Datei über WeTransfer abrufen und herunterladen zu können.

Wie heise.de hier schreibt, läuft derzeit eine Spam-Welle, bei der Mails gefälscht werden. Der Anbieter WeTransfer wird eigentlich nur von seinem Namen als Vehikel genutzt, aer der Dienst ist noch nicht einmal involviert. Die gefälschte Mail ist den Nachrichten, die WeTransfer versandt werden, täuschend ähnlich nachempfunden. Klickt der Nutzer auf den Anhang, um diesen herunterzuladen, enthält er einen .JS-Datei, gepackt in einem ZIP-Archiv. Entpackt man das ZIP-Archiv und führt die .JS-Datei per Doppelklick aus, lädt diese einen Trojaner nach. Dieser Teil des Angriffswegs ist bestens bekannt.

Wer die Mail aufmerksam anschaut, dem sollte bereits auffallen, dass diese nicht von WeTransfer stammt. Bei WeTransfer werden auch keine .JS-Dateien zum Download in gepackten ZIP-Archiven versandt, die dann per Windows Script Host einen Downloader starten. Der Download-Link für den angeblichen WeTransfer-Anhang verweist auch nicht auf die Domain wetransfer.com. Also gilt es, die Mail sofort zu löschen. Weitere Details finden sich bei heise.de. Eine weitere (ältere) Analyse findet sich auf dieser tschechischen Webseite (in Englisch). Hier der Text der englischsprachigen E-Mail.


Iazalde.Ludwig@alpestour.com has sent you a file via WeTransfer

Iazalde.Ludwig@alpestour.com
sent you some files
The updated agreement with RTS Consulting
Download
Files (6.24 MB total)
SageAccts 2016-06-29.zip
Will be deleted on
30 June, 2016
Get more out of WeTransfer, get Plus
About WeTransfer Contact Legal Powered by Amazon Web Services To make sure you can receive our emails, please add noreply@wetransfer.com to your trusted contacts


Anzeige


Der in der E-Mail angegebene Link verweist dann aber bereits auf eine (vermutlich gehackte) Webseite:

https:// www dot cubbyusercontent dot com/ pl / SageAccts+2016-06-29.zip/_24cfcb038b1b4223ae0b4d0cc41ecdbe

Dort wird eine Datei SageAccts 2016-06-29.zip zum Download angeboten, die die Trojaner enthält. Kaspersky erkennt die .JS-Datei als Trojan-Downloader.Script.Generic.

WeTransfer Fake
(Source: blog.dynamoo.com)

Der Ansatz ist übrigens nicht ganz neu, bereits im Oktober 2015 wurde ein solcher Ansatz in diesem Blog-Post dokumentiert (siehe obigen Screenshot). Neu ist wohl, dass die Mails jetzt auch auf deutsch kommen.

Abwehrmaßnahmen

Grundsätzlich sollte man zwischenzeitlich alle Mails sehr kritisch bewerten, da aktuell große Spam-Wellen rollen, die auch die üblichen Spam-Filter überwinden. Bei 1&1 kommen zwischenzeitlich täglich Spam-Mails durch den Filter. Also: Selbst bei Mails, die von bekannten Absendern stammen, den Anhang mit Verstand klassifizieren. Gepackte .JS-Dateien oder .exe-Programe gehören nicht zu den Anhängen, die ich akzeptiere. Bei Links sollte man sich die URL auf die verwiesen wird, im Mail-Client ansehen.

Wie man den Windows Script Host unter Windows für einzelne Benutzer oder für die gesamte Maschine deaktiviert, habe ich im Beitrag RAA-Malware: Ransomware + Trojaner und die Kur dagegen beschrieben.

Ähnliche Artikel:
Bösartige JavaScript E-Mail-Flut erreicht Europa
RAA-Malware: Ransomware + Trojaner und die Kur dagegen


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.