Teure “Mediamarkt-Bestellung” mit Cerber im Beifang

Publiziert am 24. Juni 2016 von Günter Born

Aktuell noch eine Warnung vor einer Mail, die angeblich von MediaMarkt stammt und eine vorgebliche Bestellung bestätigt. Im Beipack findet sich der Crypto-Trojaner Cerber. Update: Zwischenzeitlich haben die Betrüger den Text bereits angepasst.

Anzeige

Die Warnung findet sich seit einigen Stunden bei n-tv und bei heise.de. Demnach werden zur Zeit Massen-E-Mails an deutschsprachige Empfänger verschickt, die über eine angebliche Bestellung bei MediaMarkt.de (oder anderen Firmen) 'informieren'.

Absender: kapsreiter@vipfile24.ru
Betreff: Ihre Reservierung wird ausgeliefert 081547

Sehr geehrter Client,
Danke für die Bestellung von "the amazing spider-man (3d) [3d blue-ray"
Voraussichtliches Ankunftsdatum ist morgen, …
Um Ihre Bestellung zu bestätigen (oder abzubrechen),  bitte benutzen
Sie Ihren  einzigartigen Kunden ID Schlüssel,
indem Sie den unten genannten
Klicken Sie hier

Ein Screenshot einer Original-Mail findet sich bei heise.de. Der obigen Textausriss sollte einem informierten Benutzer wegen der sprachlichen Schnitzer bereits komisch vorkommen. Auch der Absender der Mail kapsreiter@vipfile24.ru sollte jedem Mitteleuropäer klar machen, dass es sich nicht um einen ausgelagerten Dienstleister von Media Markt handelt, sondern um einen Betrüger mit russischem Mail-Account. Und in der Tat handelt es sich um eine Phishing-Mail zur Verbreitung des Crypto-Trojaners Cerber.

Update: Leicht angepasste Mails

Zwischenzeitlich habe ich eine leicht angepasste E-Mail von einem anderen (fingierten) Absender und mit einem angeblich anderen Produkt zugeschickt bekommen.

Zeigt man auf den Link, erkennt man, dass dieser auf eine kompromittierte Webseite mit einer Umleitung auf eine zweite Seite (ein in Russland gehosteter Server onlineandroidhosting dot ru, gehalten von einer privaten Person mit recht spartanischen Admin-C-Einträgen) verweist – also nichts mit Media Markt zu tun hat.

Scheinbar gibt es diese Mail aber in unterschiedlichen Ausprägungen, mit verschiedenen Produktangaben und von weiteren fingierten Unternehmen. Klickt der Empfänger der Mail auf den angegebenen Link, startet der Download einer ZIP-Datei. Diese enthält ein obfuskiertes (verschleiertes) Script, welches die Ransomware Cerber nachlädt. Dieser Krypto-Trojaner verschlüsselt die erreichbaren Dokumente auf der Festplatte des Systems und fordert anschließend Lösegeld zur Entschlüsselung. Über Cerber habe ich im März im Beitrag Cerber, neue, sprechende Ransomware berichtet. Empfehlung ist, solche obskuren Mails direkt zu löschen. 

Anzeige

Ähnliche Artikel:
Cerber, neue, sprechende Ransomware
Neue Exploit-Kits, neue Risiken, neue Malware-Kampagnen
Neues von Ransomware CryptXXX
Magnitude EK-Malware-Angriff per Fingerprint-Test
PowerShell als Einfallstor für Malware/Ransomware

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Teure “Mediamarkt-Bestellung” mit Cerber im Beifang

  1. Nobody sagt:
    24. Juni 2016 um 00:34 Uhr

    Der Betreff hat eine gewisse amüsante Komponente:
    Ihre Reservierung wird ausgeliefert 081547 :-)
    Grüße

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.