Trojaner-Falle in gefälschter Telekom-Rechnung

Hier könnt Ihr nach Herzenslust plaudern und talken über alles, das sonst nirgends hinpasst!

Moderatoren: sonnschein, Mueck

Antworten
Daniel

Trojaner-Falle in gefälschter Telekom-Rechnung

#1

Beitrag von Daniel » Dienstag 24. April 2012, 19:33

Nachfolgenden Beitrag auf Wunsch und im Auftrag von @ Monchen eingestellt

Trojaner-Falle in gefälschter Telekom-Rechnung

24.04.2012, 10:02 Uhr | Andreas Lerg

Online-Kriminelle versuchen derzeit über den Versand gefälschter Rechnungen der Deutschen Telekom einen Trojaner zu verbreiten. Mit der E-Mail kommt eine präparierte PDF-Datei, die einen Trojaner in den PC schmuggelt. Die Mail ist zwar eine nahezu perfekte Fälschung, doch wer genau hinschaut, kann die Gefahr erkennen.

Die E-Mail sieht einer echten Online-Rechnung der Deutschen Telekom täuschend ähnlich. Die E-Mail ist in fehlerfreiem Deutsch formuliert, und selbst die Grußformel des Kundendienstleiters am Ende der gefälschten E-Mail ist mit dem Original identisch. Als E-Mail-Anhang kommt ein PDF-Dokument, in dem Empfänger angeblich die Rechnungsdetails finden können – ganz wie bei den echten Online-Rechnungen. Nur enthält das PDF der Kriminellen eine böse Trojaner-Falle. Die Cyber-Gangster nutzen eine Schwachstelle im Adobe Reader aus, um ihre bösartige Software zu installieren.
Trojaner gliedert PC in ein Botnet ein

Nach dem Öffnen der verseuchten PDF-Datei lädt der darin versteckte Trojaner zunächst mehrere Dateien namens menu.exe, favorites.exe und shadows.exe aus dem Internet herunter und führt diese auf dem PC des Opfers aus. Der Schädling verändert verschiedene Einstellungen des Systems und gliedert den PC in ein sogenanntes Botnet ein. Nun kann der Computer des Opfers von den Kriminellen ferngesteuert werden. Zudem wird das Adressbuch des Nutzers ausgelesen und die darin enthaltenen Informationen an die Hintermänner des Botnet gesendet. Das Ganze geschieht vom Nutzer unbemerkt im Hintergrund.

Fälschung auf den zweiten Blick erkennbar

Doch wer genau hinsieht, kann die auf den ersten Blick täuschend echt wirkende E-Mail trotzdem als Fälschung erkennen. Zunächst fällt auf, dass die persönliche Anrede des Kunden fehlt. Wo in der echten Mail der Empfänger mit "Guten Tag Herr/Frau ...." namentlich adressiert wird, steht in der Fälschung lediglich "Sehr geehrte Damen und Herren". Das zweite Indiz ist der Dateiname der angehängten infizierten PDF-Datei. Dieser setzt sich aus dem Wort Rechnung und einer Nummer zusammen. Beispielsweise "Rechnung042012.pdf" womit eine Rechnung für den April 2012 vorgegaukelt werden soll. Die Dateinamen der echten Rechnungen setzen sich jedoch aus dem Monatsdatum, dem klein geschriebenen Wort Rechnung und dann der Kundennummer des Anschlussinhabers zusammen. Beispielsweise: "2012_04rechnung_123456789.pdf"
Adobe Reader aktualisieren

Die Schwachstelle, welche die Angreifer nutzen, stammt bereits aus dem Jahr 2010. Daher sollten Nutzer ihren Adobe Reader aktualisieren und auf dem neuesten Stand halten; in der aktuellen Version der PDF-Software ist die Sicherheitslücke geschlossen. Dieser Sicherheitstipp gilt für alle Softwareprogramme, denn Hacker nutzen jede Schwachstelle, die sich ihnen bietet, um Schadprogramme auf Computern zu installieren. Deshalb sollten immer regelmäßig Updates eingespielt werden. Der in der PDF-Datei verpackte Schädling wird bisher kaum von Antivirenprogrammen erkannt. Laut virustotal.com erkennt derzeit nur Kaspersky einen Schädling namens Packed.Win32.Krap.it und dessen Gefahrenpotential ist bisher noch nicht analysiert.
Quelle :link

Benutzeravatar
Weissnix
Nachtwächter
Nachtwächter
Beiträge: 8720
Registriert: Mittwoch 31. Januar 2007, 01:00
Wohnort: Nähe Kiel, Schleswig-Holstein

#2

Beitrag von Weissnix » Dienstag 24. April 2012, 19:38

Wie gut, daß ich kein Telekomkunde bin. :wink:
Aber daß man mit PDFs solche Schweinerein machen kann, wusste ich auch bisher nicht. Also Dank an Monchen.
Tschüß
Michael

Diskriminierung der Rollifahrer von A - Z!
Highway to hell (AC/DC) - Stairway to heaven (Led Zeppelin)

Daniel

#3

Beitrag von Daniel » Dienstag 24. April 2012, 19:40

Weissnix hat geschrieben:Wie gut, daß ich kein Telekomkunde bin. :wink:
Aber daß man mit PDFs solche Schweinerein machen kann, wusste ich auch bisher nicht. Also Dank an Monchen.
Ich bin ja bekanntermasen kein PC Experte,
aber das Adobe nicht das sicherste ist,laiert mir mein Kasperski täglich vor. :bah
...........und nicht nur der Adobe Reader,auch die andren "Adobes" sind nicht 100% sicher.

Benutzeravatar
Mueck
Moderator
Moderator
Beiträge: 3193
Registriert: Sonntag 3. Oktober 2004, 02:00
Wohnort: KA, nicht weit weg von Schloss und Pyramide ;-)
Kontaktdaten:

#4

Beitrag von Mueck » Dienstag 24. April 2012, 21:06

Weissnix hat geschrieben:Wie gut, daß ich kein Telekomkunde bin. :wink:
Von "Vodafone" gibt's aber auch gefälschte Rechnungen ...
Da bin ich seit kurzem und kannte noch nicht alle deren Gepflogenheiten und da schlug dann aber sofort mein AVG an, als ich unbedacht auf die Pseudo-Rechnung klickte ...

Daniel

#5

Beitrag von Daniel » Dienstag 24. April 2012, 21:10

Mueck hat geschrieben:
Weissnix hat geschrieben:Wie gut, daß ich kein Telekomkunde bin. :wink:
Von "Vodafone" gibt's aber auch gefälschte Rechnungen ...
Da bin ich seit kurzem und kannte noch nicht alle deren Gepflogenheiten und da schlug dann aber sofort mein AVG an, als ich unbedacht auf die Pseudo-Rechnung klickte ...
Ich bin auch bei Vodafone,
ich hab mich für die Papierrechnung entschieden. :D

Benutzeravatar
Frank62
Administrator
Administrator
Beiträge: 12559
Registriert: Dienstag 14. September 2004, 02:00
Wohnort: 46325 Borken/ Westf.
Kontaktdaten:

#6

Beitrag von Frank62 » Dienstag 24. April 2012, 23:33

Weissnix hat geschrieben:Wie gut, daß ich kein Telekomkunde bin. :wink:
Aber daß man mit PDFs solche Schweinerein machen kann, wusste ich auch bisher nicht. Also Dank an Monchen.
Und ich Linux habe..da verhungern die armen Trojaner immer :D
LG
Frank62 (Der Chef)
95% aller Computerprobleme befinden sich vor dem Monitor. :suprised

Benutzeravatar
Weissnix
Nachtwächter
Nachtwächter
Beiträge: 8720
Registriert: Mittwoch 31. Januar 2007, 01:00
Wohnort: Nähe Kiel, Schleswig-Holstein

#7

Beitrag von Weissnix » Mittwoch 25. April 2012, 00:01

:647 :wink:
Tschüß
Michael

Diskriminierung der Rollifahrer von A - Z!
Highway to hell (AC/DC) - Stairway to heaven (Led Zeppelin)

Lwngwen
Frischlinge
Frischlinge
Beiträge: 10
Registriert: Samstag 28. April 2012, 22:14
Wohnort: Berlin

#8

Beitrag von Lwngwen » Montag 30. April 2012, 19:47

Frank62 hat geschrieben:Und ich Linux habe..da verhungern die armen Trojaner immer :D
Geht mir auch so. Die armen Trojaner sind total heimatlos..... :foolisch

Wenn ihr wollt, kann ich ja in der PC-Abteilung immer mal was schreiben. Ich habe ein paar Jahre in der IBM-Netzwerksicherheit gearbeitet.
Und es gibt schon ein paar Dinge, womit man es den ganzen Spinnern und Spamern schwer machen kann.

Übrigens: Wer Adobe enfach so installiert, hat ein Bonjur-Netzwerk, das den Rechner für das Adobe-Netzwerk öffnet....
Wisst ihr das???
Bild
A sí, thent in aur nathar. Estel vín orthor egor i vethed estellath anglenna.

Lwngwen
Frischlinge
Frischlinge
Beiträge: 10
Registriert: Samstag 28. April 2012, 22:14
Wohnort: Berlin

#9

Beitrag von Lwngwen » Montag 30. April 2012, 19:51

Daniel hat geschrieben:auch die andren "Adobes" sind nicht 100% sicher.
100% ist man nur tot oder schwanger. :wink:
Man kann aber trotzdem ne Menge tun. Das meiste kostet nix..... :D
Bild
A sí, thent in aur nathar. Estel vín orthor egor i vethed estellath anglenna.

Benutzeravatar
Frank62
Administrator
Administrator
Beiträge: 12559
Registriert: Dienstag 14. September 2004, 02:00
Wohnort: 46325 Borken/ Westf.
Kontaktdaten:

#10

Beitrag von Frank62 » Montag 30. April 2012, 20:18

Lwngwen hat geschrieben: Übrigens: Wer Adobe enfach so installiert, hat ein Bonjur-Netzwerk, das den Rechner für das Adobe-Netzwerk öffnet....
Wisst ihr das???
Hier mal eine Erklärung, was ein Bonjur-Netzwerk ist und was es kann. Klick mich an und hier Klick nochmal an.

mit dem Adobe Reader ist er unter XP zumindest nicht mit Installiert worden (Habe ein XP in Virtualbox laufen)
LG
Frank62 (Der Chef)
95% aller Computerprobleme befinden sich vor dem Monitor. :suprised

Lwngwen
Frischlinge
Frischlinge
Beiträge: 10
Registriert: Samstag 28. April 2012, 22:14
Wohnort: Berlin

#11

Beitrag von Lwngwen » Montag 30. April 2012, 20:30

Für mich ist das Spionage. Der Sinn ist für Normalo-User sehr fragwürdig. Aber der Rechner ist EINDEUTIG identifizierbar.
Und wir kennen ja die Versprechen, Daten nicht an dritte weiterzugeben.
I-Tunes funktioniert auch ohne das Teil. Hab ich schon mehrfach getestet.
Ich entsorge Bonjour rückstandsfrei. IMMER....
Bild
A sí, thent in aur nathar. Estel vín orthor egor i vethed estellath anglenna.

Antworten