zurück zum Artikel

Trojaner-Infektion: Vorsicht vor gefÀlschten WeTransfer-Mails

Dennis Schirrmacher
E-Mail

(Bild: dpa, Jan-Philipp Strobel)

Aktuell versenden Kriminelle Mails unter dem Deckmantel des Filehosting-Dienstes WeTransfer. Hinter dem Download-Link verbirgt sich ein Computer-SchÀdling.

Wer dieser Tage eine E-Mail im Namen des Filehosting-Dienstes WeTransfer erhÀlt, sollte die Nachricht genauestens unter die Lupe nehmen: Derzeit sind gezielt gefÀlschte E-Mails in Umlauf.

Wer auf den Download-Link innerhalb der auf den ersten Blick legitim wirkenden Mail klickt, lĂ€dt ein Zip-Archiv mit JavaScript-Dateien herunter. Öffnet man eine davon nach dem Entpacken, fĂ€ngt man sich einen Computer-SchĂ€dling ein.

Über den Filehosting-Dienst WeTransfer kann man große Dateien, die den Anhang einer E-Mail sprengen, mit Freunden teilen. So können etwa Fotografen Fotos im RAW-Format oder Videos an Kunden verschicken. DafĂŒr lĂ€dt man Dateien bei WeTransfer hoch und gibt die E-Mail-Adressen der Kunden ein, die darauf Zugriff haben sollen. Anschließend erhalten diese eine E-Mail vom Filehosting-Dienst und können die Dateien ĂŒber einen Download-Link herunterladen.

Damit die EmpfÀnger einen Anhaltspunkt haben von wem die Daten kommen, kann man im Formular von WeTransfer eine beliebige E-Mail-Adresse angeben; diese taucht dann in der Betreffzeile auf.

Die gefÀlschte E-Mail wirkt durchaus legitim. Nur arbeitet bei uns keine Christina Markthaler. Zudem verweist der Download-Link nicht auf die Domain von WeTransfer.

Die gefÀlschte E-Mail wirkt durchaus legitim; nur arbeitet bei uns keine Christina Markthaler. Zudem verweist der Download-Link nicht auf die Domain von WeTransfer.

(Bild: Screenshot)

Gut gemachte FĂ€lschung

Uns erreichte heute eine derartige Mail mit dem Betreff „Christina.Markthaler@heise.de has sent you a file via WeTransfer“. Das wirkt erst mal glaubhaft, denn WeTransfer formuliert die Betreffzeile nach dem gleichen Muster. Auch optisch sieht die gefĂ€lschte Nachricht nahezu 1:1 wie eine legitime Mail von WeTransfer aus. Durch die Domain des Absenders noreply@wetransfer.com wirkt die Nachricht noch glaubhafter.

Stutzig machte uns aber, dass hier gar keine Christina Markthaler arbeitet. Auch der Download-Link ist verdÀchtig, denn er verweist nicht auf die Domain von WeTransfer.

Wer also aktuell eine E-Mail von WeTransfer erhĂ€lt, sollte die E-Mail-Adresse im Betreff und den Download-Link prĂŒfen. FĂŒr Letzteres reicht es in der Regel aus, in einem E-Mail-Client oder Webbrowser mit der Maus ohne zu Klicken ĂŒber dem Link zu verharren; die Ziel-Adresse taucht dann in der unteren Zeile der jeweiligen Anwendung auf.

GefĂ€hrlicher Download geprĂŒft

Wir haben die Datei heruntergeladen und in einer virtuellen Maschine analysiert. In dem Zip-Archiv namens Scanned Documents.zip befinden sich in unserem Fall drei JavaScript-Dateien. Nach der AusfĂŒhrung laden diese den eigentlichen SchĂ€dling herunter, wie eine Sandbox-Analyse zeigte. Dabei könnte es sich um einen Banking-Trojaner handeln, der es auf Windows-Computer abgesehen hat.

Der Eingang einer derartigen E-Mail ist noch nicht gefĂ€hrlich und es sind mehrere vom Opfer ausgehende Schritte fĂŒr eine erfolgreiche Infektion notwendig. GefĂ€hrlich dabei ist jedoch, dass Windows JavaScript nach einem Doppelkick ohne UAC-Nachfrage oder Ă€hnliches umgehend ausfĂŒhrt.

(des [1])

URL dieses Artikels:
https://www.heise.de/-3254918

Links in diesem Artikel:
[1] mailto:des@heise.de

Copyright © 2016 Heise Medien