Neue Kampagne zielt auf File-Sharer
Die nächste Welle von Malware-Spam soll potenzielle Opfer auf eine präparierte Website locken, die den Download einer vorgeblichen P2P-Software anbietet.
Zwar sind bislang noch nicht sehr viele Mails der Sturm-Wurm-Bande aufgetaucht, die Welle rollt jedoch an. Das Botnet ist vorbereitet ständig Websites mit neuen IP-Adressen bereit zu stellen, die neue Schädlingsvarianten ausliefern. Zielscheibe der neuen Kampagne sind vorwiegend Nutzer von P2P-Dateitauschdiensten.
Die Mails der Sturm-Wurm-Bande sind regelmäßig daran zu erkennen, dass sie nur wenig Text und einen Link enthalten, der direkt auf eine IP-Adresse zeigt. Der Betreff der aktuellen Malware-Spams lautet zum Beispiel: "here is the music you wanted", "man here is the link", "you have go tot get this", "here is the krackin link", "krackin download" oder auch "check it out".
In der aktuellen Fassung bieten die darin verlinkten Websites unter dem Titel "Krackin - The Global Sharing Network" eine vorgebliche P2P-Software namens "Krackin" an. Die angebotene Datei "krackin.exe" ist eine neue Fassung des Sturm-Bots aus der Malware-Familie Nuwar/Peacomm/Zhelatin. Ganz falsch ist die Bezeichung "P2P-Software" jedoch auch nicht - immerhin nutzt das Sturm-Botnet intern eifrig P2P-Techniken, neuerdings sogar mit verschlüsseltem Datenverkehr.
Auch wer die angebotene Datei nicht herunter lädt und startet, ist in Gefahr, wenn er die Website öffnet. Mehrfach verschleierter Javascript-Code auf Basis des Angriffs-Kits "MPack" wartet darauf Sicherheitslücken im Browser ausnutzen zu können, um Malware (die so genannte "Payload") einschleusen zu können.
Quelle PC Welt