Teure “Mediamarkt-Bestellung” mit Cerber im Beifang

Aktuell noch eine Warnung vor einer Mail, die angeblich von MediaMarkt stammt und eine vorgebliche Bestellung bestätigt. Im Beipack findet sich der Crypto-Trojaner Cerber. Update: Zwischenzeitlich haben die Betrüger den Text bereits angepasst.


Anzeige

Die Warnung findet sich seit einigen Stunden bei n-tv und bei heise.de. Demnach werden zur Zeit Massen-E-Mails an deutschsprachige Empfänger verschickt, die über eine angebliche Bestellung bei MediaMarkt.de (oder anderen Firmen) ‘informieren’.

Absender: kapsreiter@vipfile24.ru
Betreff: Ihre Reservierung wird ausgeliefert 081547

Sehr geehrter Client,
Danke für die Bestellung von “the amazing spider-man (3d) [3d blue-ray
Voraussichtliches Ankunftsdatum ist morgen, …
Um Ihre Bestellung zu bestätigen (oder abzubrechen),  bitte benutzen
Sie Ihren  einzigartigen Kunden ID Schlüssel,
indem Sie den unten genannten
Klicken Sie hier

Ein Screenshot einer Original-Mail findet sich bei heise.de. Der obigen Textausriss sollte einem informierten Benutzer wegen der sprachlichen Schnitzer bereits komisch vorkommen. Auch der Absender der Mail kapsreiter@vipfile24.ru sollte jedem Mitteleuropäer klar machen, dass es sich nicht um einen ausgelagerten Dienstleister von Media Markt handelt, sondern um einen Betrüger mit russischem Mail-Account. Und in der Tat handelt es sich um eine Phishing-Mail zur Verbreitung des Crypto-Trojaners Cerber.

Update: Leicht angepasste Mails

Zwischenzeitlich habe ich eine leicht angepasste E-Mail von einem anderen (fingierten) Absender und mit einem angeblich anderen Produkt zugeschickt bekommen.

Zeigt man auf den Link, erkennt man, dass dieser auf eine kompromittierte Webseite mit einer Umleitung auf eine zweite Seite (ein in Russland gehosteter Server onlineandroidhosting dot ru, gehalten von einer privaten Person mit recht spartanischen Admin-C-Einträgen) verweist – also nichts mit Media Markt zu tun hat.


Anzeige

Scheinbar gibt es diese Mail aber in unterschiedlichen Ausprägungen, mit verschiedenen Produktangaben und von weiteren fingierten Unternehmen. Klickt der Empfänger der Mail auf den angegebenen Link, startet der Download einer ZIP-Datei. Diese enthält ein obfuskiertes (verschleiertes) Script, welches die Ransomware Cerber nachlädt. Dieser Krypto-Trojaner verschlüsselt die erreichbaren Dokumente auf der Festplatte des Systems und fordert anschließend Lösegeld zur Entschlüsselung. Über Cerber habe ich im März im Beitrag Cerber, neue, sprechende Ransomware berichtet. Empfehlung ist, solche obskuren Mails direkt zu löschen. 

Ähnliche Artikel:
Cerber, neue, sprechende Ransomware
Neue Exploit-Kits, neue Risiken, neue Malware-Kampagnen
Neues von Ransomware CryptXXX
Magnitude EK-Malware-Angriff per Fingerprint-Test
PowerShell als Einfallstor für Malware/Ransomware


Anzeige

Dieser Beitrag wurde unter Mail, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Teure “Mediamarkt-Bestellung” mit Cerber im Beifang


  1. Anzeige
  2. Nobody sagt:

    Der Betreff hat eine gewisse amüsante Komponente:
    Ihre Reservierung wird ausgeliefert 081547 :-)
    Grüße

Schreibe einen Kommentar zu Günter o. Martha Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.