ESET: Deutsche Nutzer im Fokus von Trustezeb-Malware

Security-Software-Hersteller ESET warnt vor einer Malware, Trustezeb, die hauptsächlich in Deutschland auf Nutzer zielt. Schon seit Monaten befindet sich die Schadsoftware Trustezeb in den deutschen Top10 des ESET Virus Radars.


Anzeige

Betrachtet man die globalen Infektionsraten, so fällt die DACH-Region deutlich aus dem Raster. Ein erster, deutlicher Hinweis darauf, dass es die Malware direkt auf deutschsprachige Nutzer abgesehen hat.


(Quelle: ESET)

Trustezeb öffnet laut diesem Blog-Beitrag eine Hintertür, bevorzugt auf deutschen Rechnern. Zur Verbreitung nutzt Win32/Trustezeb Spam-E-Mails, die vermeintlich von einem Unternehmen verschickt wurden. Dabei verwenden die Angreifer den formellen Namen eines real existierenden Unternehmens in Verbindung mit einer privaten E-Mail-Adresse.


(Quelle: ESET)

Die Nachricht stammt angeblich von einem Sachbearbeiter der ******Pay GmbH, wurde jedoch von einer privaten Adresse aus versendet. Die Angreifer machen sich nicht einmal die Mühe, den Absender zu fälschen. Um die Nachricht glaubwürdiger erscheinen zu lassen, wird fast immer der Name des Opfers als persönliche Anrede verwendet. Wie im obigen Beispiel ersichtlich, wird dem Opfer eine scheinbar nicht beglichene Rechnung zur Last gelegt, welche sich im Anhang befindet. Darin ist allerdings keine Rechnung enthalten, sondern die Schadsoftware als ausführbare Datei. Eine von ESET hier gepostete kleine Auswahl weiterer Betreffe anderer Spam-E-Mails zeigt die folgende Liste:

  • Daniel N*** offene Rechnung 01.10.2014 Buchungsnummer 33531484
  • Automatische Kontoabbuchung konnte nicht vorgenommen werden 07.07.2015
  • Automatische Konto-Lastschrift konnte nicht durchgeführt werden 20.07.2015
  • Offene Rechnung von ***pay an Matthias D*** 61262674
  • AN: Hartmut P H*** Konto-Lastschrift Nummer 39467867 konnte nicht durchgeführt werden 20.07.2015
  • Offene Rechnung von E**** an Günther Z*** 48198137
  • Offene Rechnung: Buchungsnummer 17782027
  • Fred H*** – Rechnung 53141663 vom 22.07.2014
  • Carina B*** Ihr vorliegendes Konto ist nicht hinreichend gedeckt
  • Abmahnung Baur Online Store

Die dazugehörigen Absender sind wie folgt:

  • “Abrechnung Pay Online24 AG” <hightree@38.de>
  • “Beauftragter Rechtsanwalt” <maox167@yahoo.co.jp>
  • “Abrechnung Pay Online GmbH” <tomek10223@wp.pl>
  • “Inkasso Abteilung Directpay AG” <davilafamily2@cox.net>
  • “Inkasso Abteilung Ebay GmbH” <lmyers114@triad.rr.com>
  • “Rechtsanwalt Ebay GmbH” <natalia.wozniak85@wp.pl>
  • “Rechtsanwalt Directpay24 AG” <gonzita@arcor.de>
  • “Stellvertretender Rechtsanwalt” <marco.roschel@hotmail.de>
  • “Baur Online Store Abmahnung” <spe_edy89@hotmail.de>

Schädling im Anhang


Anzeige

Öffnet das Opfer die ZIP-Datei im Anhang der E-Mail, erscheint als Inhalt eine weitere ZIP-Datei mit ähnlichem Namen. Diese ZIP-Datei enthält wiederum den eigentlichen Schädling als ausführbare Datei, getarnt mit einer COM-Dateiendung.

Win32/Trustezeb ist ein Schädling, der auf dem System seines Opfers weitere Schadsoftware nachladen kann. Er öffnet dazu eine Hintertür, so dass der Angreifer dauerhaft Zugriff auf den infizierten Computer hat. Dabei bedient sich Win32/Trustezeb einer Vielzahl moderner Methoden, die sich auch bei anderen Schädlingen finden lassen. Zum Beispiel besitzt er einen sogenannten Domain-Generation-Algorithmus. Diese Funktion generiert eine Reihe an Domainnamen, die dann als C&C-Server dienen und kontaktiert werden. Der Angreifer kann nun einen oder mehrere dieser Domains registrieren und so seine Schadsoftware kontrollieren. Durch die vielen möglichen Domainnamen hat der Angreifer die Möglichkeit, in bestimmten zeitlichen Abständen immer eine andere Domain zu registrieren. Dies erschwert das Auffinden und Abschalten der gerade aktiven C&C-Server erheblich. Die Kommunikation mit dem C&C-Server erfolgt dabei durchgehend verschlüsselt, was ein Aufspüren des Schädlings zusätzlich erschwert.

Malware-Kampagnen, die über Spam-E-Mails verbreitet werden, gehören inzwischen zum Alltag. Viele davon sind in englischer Sprache verfasst, um möglichst viele potentielle Opfer zu erreichen. Spam-E-Mails mit Win32/Trustezeb sind dagegen in Deutsch verfasst und sind somit ausschließlich an deutschsprachige Opfer gerichtet. Wer eine ähnliche wie in diesem Artikel beschriebene E-Mail in seinem Postfach vorfindet, sollte die Absenderadresse auf Plausibilität prüfen. Wer unsicher ist, kann beim genannten Unternehmen nachfragen, ob solch eine E-Mail tatsächlich versendet wurde. Auf keinen Fall solltest jedoch vor der Bestätigung auf Richtigkeit der Anhang geöffnet oder ausgeführt werden. Zudem sollte eine aktuelle Antivirus-Software auf dem Rechner installiert sein.


Anzeige
Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu ESET: Deutsche Nutzer im Fokus von Trustezeb-Malware


  1. Anzeige
  2. Matthias sagt:

    Es werden wieder genug Leute auf die Mails reinfallen und deren Anhang öffnen.
    Ich hatte eine Zeit lang Mails auf meine Mailadresse beim Arbeitgeber bekommen die angeblich von DHL waren, konnte man sehr leicht erkennen das es keine echten waren. Es gab aber trotzdem genug andere Kollegen deren Rechner kontaminiert wurden.

    MfG
    Matthias

  3. Pingback: Anonymous

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.