Malware versteckt sich hinter elektronischem Flugticket

Die derzeitige Attacke macht sich die Tatsache zunutze, dass viele Menschen im Herbst noch einen Urlaub planen. Bei dieser Attacke handelt es sich um ein Massen-Mailing mit “geborgtem” Anschreiben und zusätzlichen Bestandteilen, die den Empfänger zum Öffnen der ZIP-Datei verleiten sollen.

Die aktuelle Welle nimmt führende US-Fluggesellschaften und andere Betreiber ins Visier, die Himmelsrichtungen in ihren Namen enthalten. Die gefälschten Nachrichten wurden besonders häufig im Namen angeblicher Betreiber verschickt, die regional, nur innerhalb der USA oder im Charter-Geschäft tätig sind.

Die Attacke beinhaltet nach Angaben von Bitdefender primär die bereits bekannten Trojan.Spy.Zbot.KJ und Trojan.Spy.Wsnpoem.HA. Des Weiteren wurde der Trojaner Trojan.Injector.CH bei diesen Angriffen identifiziert. Diese Viren kamen erst kürzlich bei Attacken gegen führende Express-Zustelldienste zum Einsatz.

Die beim jetzigen Angriff verwendeten Viren verfügen über Rootkit-Komponenten, mit deren Hilfe sie sich auf den infiltrierten Rechnern entweder im Windows-Verzeichnis oder im Programmdateiverzeichnis installieren und verbergen. Sie schreiben in verschiedene Prozesse eigenen Code und fügen der Microsoft Windows-Firewall Ausnahmeregeln hinzu, mit denen sich die Firewall umgehen und der heimliche Zugriff auf externe Server herstellen lässt. Sie übermitteln allesamt vertrauliche Informationen und rufen Befehle des externen Angreifers von verschiedenen Ports ab. Die Trojaner versuchen überdies, eine Verbindung mit Servern herzustellen, deren Domänennamen anscheinend in der Russischen Föderation registriert sind, um von dort Dateien herunterzuladen.