BLOG

Neue iPhone 6s-Masche infiziert deutsche Nutzer mit Andromeda

30/08/2015 09:41 CEST | Aktualisiert 30/08/2016 11:12 CEST
Bloomberg via Getty Images

Sie warten schon mit Spannung auf das neue iPhone? Dann seien Sie besonders auf der Hut vor Fake-E-Mails, die bereits jetzt einen Blick auf oder gar Rabatte für das neue Smartphone von Apple anbieten.

Neue Spam-Kampagne

Eine neue Spam-Kampagne zielt insbesondere auf neugierige deutsche Nutzer und installiert das Andromeda-Botnet auf deren Rechnern, was weiteren Spam oder Malware zur Folge hat.

Die sehr einfach gehaltene E-Mail enthält nur das Schlagwort "iPhone 6s" und eine angehängte Zip-Datei, die darauf wartet, von neugierigen Nutzern geöffnet zu werden. Um höhere Glaubwürdigkeit vorzutäuschen, ist die Nachricht außerdem mit der typischen "Von meinem iPhone gesendet"-Signatur unterschrieben.

Sobald der Benutzer den Anhang herunterlädt, aktiviert sich ein selbstausführender JavaScript Code. Gleichzeitig wird im Browser eine Hotelreservierung als Decoy-PDF geöffnet - also als eine Ablenkung, die allerdings nichts mit dem iPhone 6s zu tun hat. Dennoch entsteht so der Eindruck, dass es sich hierbei um den Inhalt des soeben gespeicherten Zip-Archivs handelt - der Verdacht einer infizierten Datei drängt sich nicht sofort auf. Dieser Trick ist nicht neu, aber wir haben ihn auch schon ziemlich lange nicht mehr gesehen.

Parallel zur Anzeige der PDF-Reservierung wird heimlich eine .exe-Datei auf den Rechner installiert. Hierbei handelt es sich um den eigentlichen Downloader, der im Anschluss das Andromeda Botnet überträgt.

Über Andromeda

Andromeda ist ein Botnet, das erstmals 2011 entdeckt wurde. Sein Hauptzweck dient der Einrichtung eines stabilen Backdoors, durch das weitere Schadsoftware auf den Rechner installiert werden kann. In der Vergangenheit wurde Andromeda etwa genutzt, um Simda einzuspeisen, eine Malware zum Abgreifen von Zugangsdaten mit über 770.000 gemeldeten Fällen.

Auch GamaPOS, ein RAM-Scraper der hauptsächlich Kreditkartennummern von Kassensystemen stehlen soll, fand erst kürzlich über das Botnet seinen Weg auf zahlreiche Rechner. Das Botnet ist äußerst flexibel und anpassungsfähig. Es basiert auf Modulen, also etwa Keyloggern, Ausspähung von persönlichen Daten, CKS4, Proxy und Rootkits.

Die Kommunikation mit den C&C-Servern wird verschlüsselt, um eine Verfolgung oder ein Entdecken zu verhindern. Außerdem installiert Andromeda nur Kopien einzelner Dateikomponenten, statt ganze Kopien seiner selbst, was es nochmal schwieriger macht, dem Schädling auf die Spur zu kommen.

Unseren Antispam-Analysten zufolge befinden sich die Spamserver in Frankreich, Italien, Polen, Korea, der Tschechei, Deutschland und Mexiko.

Prävention

Herauszufinden, ob ein Computer Teil eines Botnets ist, ist nicht einfach. Denn einmal installiert, versteckt sich Andromeda im Hintergrund, produziert keine Fehlermeldungen oder Pop-Ups und ruft in der Regel auch nicht das Antiviren-Programm auf den Plan.

Darum ist Vorsorge der Schlüssel zum Erfolg. Pauschal die Ausführung von JavaScripts zu verbieten greift zu kurz, da viele Browser dann nichtmehr ordnungsgemäß arbeiten. Besonderer Vorsicht ist im Umgang mit Nachrichten und insbesondere potenziell infizierten Dateiformaten wie PDF, XLS oder DOC geboten. Außerdem reduziert ein Update des Betriebssystems und der Antiviren-Software das Risiko, einem Botnet zum Opfer zu fallen.


Lesenswert:

Vorsicht bei elektronischer Zahlung: Achtung! Neuer Virus greift Kreditkartendaten direkt am Terminal ab

Video: Drastischer Schritt: Mobilfunk-Anbieter wollen Werbung auf Smartphones verbieten

Ihr habt auch ein spannendes Thema?

Die Huffington Post ist eine Debattenplattform für alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter

blog@huffingtonpost.de.

Hier geht es zurück zur Startseite

Gesponsert von Knappschaft