Spam-Kampagne: Gefälschtes Font-Update installiert Locky-Trojaner
Laut CERT-Bund sind momentan Spam-Mails im Umlauf, die als Absender den Filehoster Dropbox vortäuschen. Im Zuge einer Account-Verifizierung wird Nutzern ein angebliches Font-Update untergejubelt. Hinter dem lauert aber die Ransomware Locky.
!["HoeflerTex"-Font-Update installiert Locky-Trojaner](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/2/7/0/6/2/8/alphabet-1718795_1280-d13b2398e6833b63.jpeg)
(Bild: pixabay.com)
Das Emergency-Response-Team des BSI CERT-Bund warnt derzeit vor einer Spam-Kampagne, die unter dem Namen des beliebten Filehosting-Dienstes Dropbox den Verschlüsselungstrojaner Locky verteilt. Laut einer Analyse der IT-Sicherheitsorganisation Internet Storm Center (ISC) lotst ein in den Spam-Mails enthaltener Link die Empfänger zur Account-Verifizierung auf eine gefälschte Dropbox-Website. Die behauptet, dass der Vorgang aufgrund eines fehlenden Fonts namens "HoeflerText" nicht abgeschlossen werden könne.
Klicken Nutzer daraufhin auf den "Update"-Link eines sich öffnenden Pop-ups, so erhalten sie statt des angekündigten Fonts einen JavaScript-Downloader. Dieser installiert nach Angaben des ISC die Windows-spezifische Malware Locky in der bereits seit August bekannten Variante mit ".lukitus"-Endung auf dem System.
Pop-ups passend zum Browser-Design
(Bild: Internet Storm Center (ISC))
Vom ISC veröffentlichte Screenshots zeigen,dass das Design der Pop-ups auf das Look and Feel des jeweiligen Browsers abgestimmt ist. In Firefox und Chrome werden die Mozilla Corporation beziehungsweise Google als Urheber des zu installierenden Font-Packs angegeben, um die Täuschung abzurunden.
Dank gefälschter Absenderadresse (no-reply@dropbox.com) sowie typischem Dropbox-Design wirkt auch die Spam-Mail authentisch. Die gefälschte Dropbox-Website ist hingegen durch einen Blick auf den Domainnamen ("dar-alataa") sowie durch die unverschlüsselte Verbindung recht leicht als Fälschung identifizierbar. Auch der Dateiname des Font-Updates – Win.JSFontlib09.js – sollte aufgrund der JavaScript-Endung misstrauisch machen (ovw)