Trojaner tarnt sich als Phishing-Mail [Update]

Bei heise Security laufen seit gestern reihenweise Hinweise auf eine scheinbare Phishing-Mail ein, die sich bei näherer Betrachtung jedoch als Versuch entpuppt, dem Anwender Trojaner unterzuschieben.

In Pocket speichern vorlesen Druckansicht 187 Kommentare lesen
Lesezeit: 3 Min.

Bei heise Security laufen reihenweise Hinweise auf eine scheinbare Phishing-Mail ein, die sich bei näherer Betrachtung jedoch als Versuch entpuppt, dem Anwender Trojaner unterzuschieben. Der Text der Mail gibt sich als Hinweis auf eine Telekom-Rechnung aus:

Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Januar 2005 beträgt: 752,82 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht die Sie unter Ihrem Konto sehen können.

Einige wichtige Unterschiede gibt es allerdings zu früheren gefälschten Telekom-Rechnungsmails, die den Anwendern Trojaner unterjubeln wollten. Beim Klick auf den in der Mail enthaltenen Link öffnet sich tatsächlich die Telekom-Seite -- und zwar keine nachgebaute, sondern die echte. Der Trick der Betrüger: Das verlinkte Dokument besteht aus mehreren Frames. Einer davon verweist auf die echte Telekom-Seite. Der zweite hingegen bleibt versteckt und enthält codierten Skript-Code. Als URL erscheint in der Adressleiste wie häufig bei Phishing-Seiten lediglich eine nackte IP-Adresse.

Die Autoren haben sich einige Mühe gemacht, ihr eigentliches Anliegen zu verbergen: Auf den ersten Blick in den Quellcode des Frames erscheint nur unleserlicher Buchstabensalat:

<script language="VBScript.Encode"> #@~^lQwAAA==a8Fxr&1&0F%+[v1 TG+vX{yG&+1v6v+2[+ 2Fy+f!++y!*+nv2

Decodiert man dies, erhält man VBScript-Code, der nochmals verschleiert ist. Erst nach einem zweiten Decodier-Schritt zeigt sich, dass hier eine neue HTML-Seite dynamisch erzeugt wird -- und die hat es in sich. Eine erste Analyse durch heise Security zeigte, dass sie versucht, mindestens fünf verschiedene Sicherheitslücken des Internet Explorer auszunutzen, darunter eine im Hilfe-Protokoll ms-its:, das Problem mit den animierten Cursor-Dateien und einen Fehler im Java-Bytecode-Verifier. Über all diese Lücken versucht die Web-Seite Software aus dem Internet nachzuladen und zu installieren. Einen Versuch, eingegebene Zugangsdaten abzuphishen, konnten wir in den Web-Seiten hingegen nicht finden. Solche Funktionen könnten allerdings durchaus in der heimlich nachinstallierten Software enthalten sein.

Wer auf den Link klickt, um den vermeintlichen Phishing-Versuch zu begutachten, bekommt nicht mit, dass der versteckte Frame im Hintergrund versucht, sein System zu infizieren. Nach einer ersten Analyse sieht es so aus, als werden dabei nur bekannte Schwachstellen des Internet Explorer ausgenutzt, gegen die es bereits Patches gibt. Aufgrund der Komplexität lässt sich jedoch derzeit nicht ausschließen, dass auch bisher unbekannte Schwachstellen oder zumindest neue Variationen darunter sind, die auch Systeme treffen könnten, die sich auf dem aktuellen Stand befinden. Anwender sollten vorsichtshalber verdächtige Links in Mails nicht anklicken.

Update:
In weiteren Tests von heise Security konnte die Seite ein System mit Windows XP Service Pack 2 und allen aktuellen Patches nicht infizieren. Eine genauere Analyse ergab, dass neben den bereits erwähnten Schwachstellen im Byte-Code-Verifier und in der Behandlung von Cursor-Dateien auch zwei neuere Lücken ausgenutzt werden: Ein Problem mit der eingebauten Hilfefunktion und eines mit dem ActiveX-Control DHTML-Edit -- beide hat Microsoft Anfang des Jahres behoben. (ju)