Phishing: Vorgebliche Rechnungs-Mails von Otto.de und T-Mobile

In Spam-artig verbreiteten Mails, die vorgeblich vom Otto-Versand oder auch von T-Mobile kommen, sind Links zu Malware-Sites enthalten. Diese versuchen über Sicherheitslücken Trojanische Pferde einzuschleusen.

Seit gestern Abend werden Spam-artig Mails verbreitet, die vorgeblich von Otto.de kommen und den Betreff "Die Rechnung ist blockiert" tragen. Im Text heißt es, das Sicherheitssystem habe den Versuch verhindert den "Internetgeldbeutel" des Empfängers auszunutzen. Dieser wird aufgefordert "Aktivierungsprozedur noch einmal durchzunehmen" und soll dann den "Aktivierungskode und die neue Parole" erhalten. Dazu ist ein Link angegeben, der nur scheinbar "http://otto.de/de/" lautet.

Seit heute Morgen hat sich der vorgebliche Absender geändert, nunmehr muss T-Mobile herhalten. Die Mails kommen mit einem Betreff wie "Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben.". Darin werden Punkte versprochen, die man für kostenlose SMS nutzen können soll. Um den Punktestand zu überprüfen, wird ein Link angegeben, der nur scheinbar auf die Website von T-Mobile führt.

Die Links führen tatsächlich zu einer von vielen Seiten, die auf GeoCities.com zu diesem Zweck angelegt worden sind und in beiden Fällen eine Seite von Otto.de imitieren. Die meisten davon sind inzwischen von Yahoo wieder entfernt worden, es kommen aber immer noch neue nach. Diese Seiten dienen als erste Anlaufstation, die schädlichen Scripte sowie die eigentliche Malware kommen von anderen Servern.

Dahinter steckt das Angriffspaket "MPack", das automatisch versucht den verwendeten Browser zu ermitteln. Verfügt es über einen dazu passenden Exploit für eine Sicherheitslücke, schleust MPack einen Downloader ein, der weitere Malware nachlädt. Dabei handelt es sich um Schädlinge aus der Bzub-Familie, die unter anderen Passwörter und andere Zugangsdaten ausspionieren sollen. Zudem wird der befallene PC in ein Botnet eingegliedert und damit zur fremdgesteuerten Spam-Schleuder. (PC-Welt/mja)