Gnadenlose Abrechnung: Banking-Trojaner Chthonic kommt per Paypal-Mail

Keine Kommentare
 

Moderne Spamfilter arbeiten recht zuverlässig, wenn es um das Herausfiltern von E-Mails mit verdächtigem Absender, Links zu dubiosen Websites oder Schadcode in Anhängen geht. Ganz anders sieht es aus, wenn Dienste legitimer Anbieter zum Verbreiten von Malware missbraucht werden. Sicherheitsexperten von Proofpoint stießen kürzlich auf eine kleine, aber raffinierte E-Mail-Kampagne, in deren Rahmen der Bezahldienst Paypal genutzt wurde, um den Empfängern präparierter Zahlungsaufforderungen buchstäblich das Geld aus der Tasche zu ziehen.


PayPal Schriftzug

Gnadenlose Abrechnung: Banking-Trojaner Chthonic kommt per Paypal-Mail (pixabay.com / Kaffee)

Wie in einem Blogeintrag des kalifornischen Security-as-a-Service-Anbieters berichtet wurde, stammten die betreffenden E-Mails tatsächlich von PayPal. Die Cyberkriminellen erstellten ganz einfach ein Konto beim Bezahldienst und verschickten anschließend Zahlungsaufforderungen über je 100 Dollar an verschiedene E-Mail-Adressen. Aufgrund der Legitimität der Nachrichten entgingen sie zahlreichen Spamfiltern – unter anderem auch dem von Googles E-Mail-Dienst Gmail.

Zahlungsaufforderung mit eingebautem Link zu Chthonic

Nicht nur die erfolgreiche Spamfilter-Vermeidung, sondern auch die Tatsache, dass legitime Paypal-Mails kaum Misstrauen beim Empfänger erregen, erhöht die Effektivität einer solchen Malware-Kampagne. Die Angreifer nutzten die Möglichkeit, ihrer Zahlungsaufforderung eine persönliche Nachricht beizufügen. Indem sie behaupteten, dass zuvor eine unrechtmäßige Überweisung in Höhe von 100 Euro von ihrem Paypal- auf das Empfängerkonto stattgefunden habe, verwiesen sie auf einen Link zu Dokumenten, die die Transaktion dokumentieren sollten. Tatsächlich handelte es sich jedoch um einen Download-Link zur Banking-Malware Chtonic.

Ob der E-Mail-Versand an die Empfänger automatisiert oder per manuellem Einfügen von E-Mail-Adressen stattfand, ist bislang noch unklar. Mit Hilfe von Google Analytics konnten die Proofpoint-Mitarbeiter jedoch ermitteln, dass der Malware-Link in der Paypal-Nachricht lediglich Klickzahlen im unteren zweistelligen Bereich verzeichnete. Dennoch sprachen sie von einer ebenso interessanten wie beunruhigenden Technik.

Datendiebstahl im Doppelpack: Chthonic lädt AZORult nach

Perfide ist der doppelte Angriff, der zum einen auf die Gutgläubigkeit und Konfliktscheu der Betroffenen abzielt und zum anderen einen Trojaner beinhaltet, der unbemerkt Onlinebanking-Daten sammelt. Mehr noch: Über seine eigenen Spionage-Aktivitäten hinaus ist Chtonic in der Lage, eine weitere und mindestens ebenso gefährliche Malware nachzuladen. Laut Proofpoint handelt es sich dabei um einen so genannten Info-Stealer mit dem Namen AZORult. Wie die Bezeichnung bereits verrät, dienen Info-Stealer zum heimlichen Ausspähen von Daten, die anschließend an einen entfernten Server gesendet werden. AZORult, der interessierten Cyberkriminellen in russischen Untergrundforen zum Kauf angeboten wird, kann unter anderem Passwörter, Desktop-Dateien, Internet-Cookies und Bitcoin-Wallets stehlen.

Um sich vor Angriffen durch Chthonic und AZORult, aber auch vor Social Engineering Angriffen per Paypal zu schützen, bedarf es eines gesunden Misstrauens seitens des Nutzers. Zahlungsaufforderungen fremder Personen sollte nicht blind vertraut und Links nicht vorschnell angeklickt werden. Meist genügt ein Blick in die PayPal Transaktionsliste, um stattgefundene Kontobewegungen nachzuvollziehen. Eine zusätzliche Kontaktaufnahme mit dem Paypal Kundenservice hilft, letzte Zweifel auszuräumen.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen