wp_whatsapp_fakeExperten von Comodo Antispam Labs (CASL) ist ein neuer Malware-Angriff über gefälschte WhatsApp-Nachrichten über E-Mail ins Netz gegen. Dabei fokusieren sich die Kriminellen hauptsächlich auf Anwender und Unternehmen, die den Messenger regelmäßig zum telefonieren mit anderen Kontakten über das Internet nutzen!
Laut Comodo wird die Malware im Rahmen üblicher Phishing E-Mails verbreitet, die einer originalen WhatsApp-Meldung äusserst ähnlich sehen. Üblicherweise werden die Mails über verschiedene IPs mit unterschiedlichen Absender-Adressen versendet. Damit die Empfänger identifiziert werden können, bedienen sich die Kriminellen verschiedener Inhalten für die Betreffzeile und hängen diesem Text ein Zeichenkürzel wie ‘xgod‘ oder ‘sqdw‘ am Ende an.

Bildschirmfoto 2016-01-12 um 10.10.43

Beispiel einer WhatsApp Phishing-Mail

Laut Fatih Orhan (Direktor der Technologie für Comodo und dem CASL) werden Hacker zunehmend kreativer. Sie nutzen kreative Betreffzeilen in ihren gefälschten E-Mails, so dass Benutzer verleitet werden, die E-Mails zu klicken und unwissentlich die integrierte Malware ausführen.

Im Anhang der gefälschten Mail befindet sich zudem ein Zip-Archiv, in dem Fall mit Namen ‘jerold86.zip’, welches nach Entpacken eine ausführbare Datei mit Namen ‘Washington.exe’ erzeugt. Nachdem die Zip-Datei aus der E-Mail geöffnet und die Malware ausgeführt wurde, verkeilt sich diese in verschiedene System-Ordner und u.a. in die Auto-Run Einträge der Registrierung. Der Trojaner der Familie ‘Nivdort‘ infiltriert dabei vorhandene Sicherheitsvorkehrungen, lädt dann weiteren Schadcode aus dem Internet herunter und späht zudem persönliche Informationen und sensible Daten des Anwenders auf dem System aus.
[su_expand] Auszug des Headers und Analyse des Anhangs bei Virustotal:
–snip
Sie haben eine hörbare Auskunft verpasst. mop
Return-path: <xxxx@agricultoresmartinez.com>
Received: from mout.kundenserver.de ([212.227.17.10]) by mx.kundenserver.de (mxeue106) with ESMTPS (Nemesis) id 0MHtF7-1aGYNl2fhF-003hlY for <xxxxxxxxx@xxxxxxx>; Thu, 31 Dez 2015 18:45:44 +0100 Received: from user-PC ([92.84.76.177]) by mrelayeu.kundenserver.de (mreue102) with ESMTPA (Nemesis) id 0MTxib-1adgLN2fqr-00Qmmz; Thu, 31 Dez 2015 18:45:40 +0100 From: WhatsApp <xxxx@agricultoresmartinez.com> To: meyer@odn.de
–snap
Virustotal Ergebnis:
AVG Win32/Heur
Ad-Aware Gen:Variant.Kazy.273912
Antiy-AVL Trojan/Win32.Tinba
Avast Win32:Malware-gen
BitDefender Gen:Variant.Kazy.273912
Cyren W32/Nivdort.F.gen!Eldorado
DrWeb Trojan.DownLoader18.23673
ESET-NOD32 a variant of Win32/Bayrob.AQ
Emsisoft Gen:Variant.Kazy.273912 (B)
F-Prot W32/Nivdort.F.gen!Eldorado
F-Secure Gen:Variant.Kazy.273912
Fortinet W32/Bayrob.AQ!tr
GData Gen:Variant.Kazy.273912
Jiangmin Trojan.Tinba.aum
K7GW Hacktool 655367771
Kaspersky Trojan.Win32.Tinba.aely
McAfee Trojan-FHPD!3B00362C227F
McAfee-GW-Edition BehavesLike.Win32.Trojan.fh
MicroWorld-eScan Gen:Variant.Kazy.273912
Sophos Troj/Nivdort-CZ
TrendMicro-HouseCall TROJ_BAYROB.SM1[/su_expand] Wie kann ich den Rechner schützen:

  1. Seien Sie kritisch beim lesen dubioser E-Mails und deren Anhänge, geben Sie niemals auf hinter Links befindlichen Webseiten persönliche Daten weiter.
  2. Wenn Sie den Mauszeiger auf den Link legen (nicht klicken), sieht man in der Regel die Adresse der Weiterleitung!
  3. Wenn Sie sich nicht sicher sind, ob Sie evtl. schon Opfer einer Phising-Attacke geworden sind, Überprüfen Sie ersten den Rechner auf evtl. Infektionen mit unseres kostenfrei bereitgestellten Entfernungstool und ändern von einem sauberen Rechner die Zugangsdaten
  4. Helfen Sie mit, den Kriminellen das Handwerk zu legen, melden Sie dubiose Spam-Mails bei der Internet-Beschwerdestelle.de.

Grundsätzliche Tipps vom Botfrei-Team:

  1. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nichtaufintegrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  2. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  3. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
  4. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!

Bild: comodo.com