Das bekannte Cutwail-Botnetz (auch bekannt als Pandex, Mutant und Pushdo) ist nach Angaben von M86 Security offensichtlich wieder aktiv: Der Sicherheits-Spezialist beobachtete in den letzten Wochen immer wieder massenweise HTML-E-Mails, die mit schadhaften JavaScripts infiziert waren und offenbar von mit Cutwail befallenen PCs ausgingen.

Cutwail war vor ca. fünf Jahren auf dem Höhepunkt, als es mit 1,6 Millionen infizierten Rechner Platz 1 bei allen Botnetz-Aktivitäten einnahm. Es hatte dann seine Führungsposition verloren, nachdem Hacker in das System eingedrungen waren und die Namen der Kunden sowie der Partner publik machten.

M86 Security zu  Folge war zwischen dem 23. und 25. Januar das Volumen infizierter HTML-E-Mails um das Fünfzigfache gestiegen, drei Wellen ab dem 6. Februar ließen das Volumen sogar um das 200-fache ansteigen. Die verseuchten E-Mails führten zum Beispiel im Betreff “FDIC Suspended Bank Account”, “End of August Statement” oder “Scan from Xerox WorkCentre” mit sich.

Das integrierte JavaScript versucht, über verschiedene Sicherheitslücken Schadsoftware auf den Computer zu bringen, unter anderem über Schwachstellen in ältere Acrobat Reedern. Mehrfach wurde dabei ein datenausspähender Trojaner mit dem Namen “Cridex” installiert. Das Botnetz nutzt das auf dem Spammer-Schwarzmarkt sehr erfolgreiche “Phoenix Exploit Kit” und kommt damit auf Infektionsquoten von über 15 Prozent. Anfang Januar wurden Einzelheiten zu den Betreibern des Cutwail-Botnetzes veröffentlicht.