Trojaner “Telekom Rechnung”

Derzeit wird eine eMail mit Malware-Inhalt verstärkt durchs Netz geschickt. Enthalten ist ein Download-Link mit dem Hinweis auf eine Telekom-Rechnung, der eine .exe-Datei nachlädt.

!!! Diese Datei ist ein Trojaner, der von den meisten Virenscannern NICHT erkannt wird !!!

Der Inhalt der eMail sieht folgendermaßen aus, kann jedoch variieren:

Von: Telekom Deutschland <XXX>
Datum: Montag, 6. Januar 2014 09:08
An: <1euberweisung@credit-financing-uk.com>
Betreff: Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 532569845419646126 vom 06.01.2014 des Kundenkontos 631631566752.

Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer
Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat December, Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 126419725186935573 vom 06.01.2014 des Kundenkontos 221221461752).

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt,
Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar
Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 122265872
WEEE-Reg.-Nr.: 60800328

Im Laufe des gestrigen Tages waren tausende dieser eMails über die eMail-Relay Server von OMG transportiert worden. Anhänge waren keine enthalten, jedoch ein Link auf eine .exe-Datei, die von den meisten Virenscannern nicht als Trojaner erkannt wurde.

Analyse der .EXE-Datei, Stand 07.01.2014, 8.55 Uhr:
https://www.virustotal.com/de/file/e179e6d0f198eb2d74bf51eef005cc38b2b9d6c2d54f6ddd2af237b6935aafce/analysis/

Folgende Gegenmaßnahmen wurden ergriffen:

  • Sperrung der sendenden Mailserver
  • Blacklisting der eMail-Absender
  • “Anlernen” der aktiven eMail-Scanner

 

Update 08.01.2014: 

Die Auswirkungen des Trojaner sind jetzt bekannt. Dieser kompromittiert die Kommunikation zwischen Sparkassen-Banking über das Web-Frontend und fordert zu einer Testüberweisung auf.

Nach einer Anmeldung im Banking-Bereich der Sparkasse erfolgt folg. Einblendung:

IMG_3380

 

Nach ca. 30 Sekunden, erfolgt die Aufforderung zur Eingabe einer TAN:

IMG_3381

 

Parallel wird in diesem Fall eine SMS-TAN generiert und an die hinterlegte Handy-Nummer übermittelt:

TAN

 

Unserer Einschätzung nach, handelt es sich um einen äußerst raffinierten Trojaner, der sicherlich eine hohe Aussicht auf Erfolg haben wird.

Update 16.01.2014: 

Weitere Erkenntnisse:

  • Die betreffende eMail variiert beinahe täglich hinsichtlich inhaltlicher und äußerlicher Aspekte, was eine Spam-Erkennung erschwert
  • Die eMails selbst haben keinerlei Schadcode im Anhang
  • Alle eMails werden von -infizierten- Clients über valide Mailserver verschickt
  • Populäre Virenscanner wie beispielsweise Microsoft, F-Secure, GData, Panda, Kaspersky & Norman erkennen den Trojaner nicht
  • Der Trojaner ändert seinen Schadcode permanent (“Zero-Day“) und wird nur durch 11 von 48 getesteten Virenscannern erkannt
  • Andere Großunternehmen und kommunale Einrichtungen haben ebenfalls Probleme bei Erkennung und Verhinderung von Befall
  • Die Erkennung bei OMG wird täglich an die sich rasch ändernden Bedingungen angepasst

 

Leave a Reply

Your email address will not be published. Required fields are marked *