Viren in vermeintlichen Rechnungen von ImmobilienScout24

Derzeit sind zahlreiche Virenmails in Umlauf, die als Rechnungen der Immobilienbörse ImmobilienScout24 getarnt sind. Heise Security liegen mehrere Varianten vor. Die Betreffzeile variiert und enhält zumeist eine offenbar zufällige Rechnungsnummer. Auch die Absenderadresse wird offenbar stets neu generiert, endet aber immer auf @immobilienscout24.de. Der Mailtext lautet:

Sehr geehrte Kundin,

Sie finden die Rechnung in der PDF-Datei im Anhang

Mit freundlichen GrГјГџen
Ihr ImmobilienScout24 Team
____________________________
Hinweis: Dies ist eine automatische E-Mail. Bitte schicken Sie keine Nachrichten an diesen Absender.

Immobilien Scout GmbH
HRB 77017

Allein Varianten gemein ist ein rund 10 KByte großer Anhang namens 150113000001.pdf, der eine bereits 2010 geschlossene Schwachstelle im Adobe Reader auszunutzen versucht. Wenn dies gelingt, sorgt der eingeschleuste Shellcode dafür, dass auf kompromittierten Webservern deponierter Schadcode nachgeladen wird.

Die verseuchte PDF-Datei wird derzeit von keiner der von VirusTotal genutzten AV-Engines erkannt. Dabei muss man allerdings beachten, dass VirusTotal die dort hochgeladenen Dateien nur mit den On-Demand-Scannern der Virenschutzprodukte untersucht.

Generell ist bei per Mail zugestellten Rechnungen, deren Zustandekommen man sich nicht erklären kann, große Vorsicht geboten. Die aktuelle ImmobilienScout24-Kampagne ist nur ein Beispiel von vielen. Genauso werden die Namen anderer Unternehmen missbraucht. Wenn man überprüfen will, ob eine PDF-Datei mit Schadcode gespickt ist, kann man sie etwa in der Online-Sandbox Wepawet ausführen. (rei)