Trojaner-Infektion: Vorsicht vor gefälschten WeTransfer-Mails
Aktuell versenden Kriminelle Mails unter dem Deckmantel des Filehosting-Dienstes WeTransfer. Hinter dem Download-Link verbirgt sich ein Computer-Schädling.
Wer dieser Tage eine E-Mail im Namen des Filehosting-Dienstes WeTransfer erhält, sollte die Nachricht genauestens unter die Lupe nehmen: Derzeit sind gezielt gefälschte E-Mails in Umlauf.
Anzeige
Wer auf den Download-Link innerhalb der auf den ersten Blick legitim wirkenden Mail klickt, lädt ein Zip-Archiv mit JavaScript-Dateien herunter. Öffnet man eine davon nach dem Entpacken, fängt man sich einen Computer-Schädling ein.
Über den Filehosting-Dienst WeTransfer kann man große Dateien, die den Anhang einer E-Mail sprengen, mit Freunden teilen. So können etwa Fotografen Fotos im RAW-Format oder Videos an Kunden verschicken. Dafür lädt man Dateien bei WeTransfer hoch und gibt die E-Mail-Adressen der Kunden ein, die darauf Zugriff haben sollen. Anschließend erhalten diese eine E-Mail vom Filehosting-Dienst und können die Dateien über einen Download-Link herunterladen.
Damit die Empfänger einen Anhaltspunkt haben von wem die Daten kommen, kann man im Formular von WeTransfer eine beliebige E-Mail-Adresse angeben; diese taucht dann in der Betreffzeile auf.
Die gefälschte E-Mail wirkt durchaus legitim; nur arbeitet bei uns keine Christina Markthaler. Zudem verweist der Download-Link nicht auf die Domain von WeTransfer.
(Bild: Screenshot)
Gut gemachte Fälschung
Uns erreichte heute eine derartige Mail mit dem Betreff „Christina.Markthaler@heise.de has sent you a file via WeTransfer“. Das wirkt erst mal glaubhaft, denn WeTransfer formuliert die Betreffzeile nach dem gleichen Muster. Auch optisch sieht die gefälschte Nachricht nahezu 1:1 wie eine legitime Mail von WeTransfer aus. Durch die Domain des Absenders noreply@wetransfer.com wirkt die Nachricht noch glaubhafter.
Stutzig machte uns aber, dass hier gar keine Christina Markthaler arbeitet. Auch der Download-Link ist verdächtig, denn er verweist nicht auf die Domain von WeTransfer.
Anzeige
Wer also aktuell eine E-Mail von WeTransfer erhält, sollte die E-Mail-Adresse im Betreff und den Download-Link prüfen. Für Letzteres reicht es in der Regel aus, in einem E-Mail-Client oder Webbrowser mit der Maus ohne zu Klicken über dem Link zu verharren; die Ziel-Adresse taucht dann in der unteren Zeile der jeweiligen Anwendung auf.
Gefährlicher Download geprüft
Wir haben die Datei heruntergeladen und in einer virtuellen Maschine analysiert. In dem Zip-Archiv namens Scanned Documents.zip befinden sich in unserem Fall drei JavaScript-Dateien. Nach der Ausführung laden diese den eigentlichen Schädling herunter, wie eine Sandbox-Analyse zeigte. Dabei könnte es sich um einen Banking-Trojaner handeln, der es auf Windows-Computer abgesehen hat.
Der Eingang einer derartigen E-Mail ist noch nicht gefährlich und es sind mehrere vom Opfer ausgehende Schritte für eine erfolgreiche Infektion notwendig. Gefährlich dabei ist jedoch, dass Windows JavaScript nach einem Doppelkick ohne UAC-Nachfrage oder ähnliches umgehend ausführt.
Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.
