/Spam-Kampagne: Gefälschtes Font-Update installiert Locky-Trojaner

Spam-Kampagne: Gefälschtes Font-Update installiert Locky-Trojaner

Spam-Kampagne: Gefälschtes Font-Update installiert Locky-Trojaner


Olivia von Westernhagen

(Bild: pixabay.com )

Laut CERT-Bund sind momentan Spam-Mails im Umlauf, die als Absender den Filehoster Dropbox vortäuschen. Im Zuge einer Account-Verifizierung wird Nutzern ein angebliches Font-Update untergejubelt. Hinter dem lauert aber die Ransomware Locky.

Das Emergency-Response-Team des BSI CERT-Bund warnt derzeit vor einer Spam-Kampagne, die unter dem Namen des beliebten Filehosting-Dienstes Dropbox den Verschlüsselungstrojaner Locky verteilt. Laut einer Analyse der IT-Sicherheitsorganisation Internet Storm Center (ISC) lotst ein in den Spam-Mails enthaltener Link die Empfänger zur Account-Verifizierung auf eine gefälschte Dropbox-Website. Die behauptet, dass der Vorgang aufgrund eines fehlenden Fonts namens “HoeflerText” nicht abgeschlossen werden könne.

Klicken Nutzer daraufhin auf den “Update”-Link eines sich öffnenden Pop-ups, so erhalten sie statt des angekündigten Fonts einen JavaScript-Downloader. Dieser installiert nach Angaben des ISC die Windows-spezifische Malware Locky in der bereits seit August bekannten Variante mit “.lukitus”-Endung auf dem System.

Pop-ups passend zum Browser-Design



Der Domainname "dar-alataa" offenbart die Fälschung.

Das Pop-up-Design ist optimal auf den jeweiligen Browser abgestimmt.

Vergrößern

Bild: Internet Storm Center (ISC)


Vom ISC veröffentlichte Screenshots zeigen,dass das Design der Pop-ups auf das Look and Feel des jeweiligen Browsers abgestimmt ist. In Firefox und Chrome werden die Mozilla Corporation beziehungsweise Google als Urheber des zu installierenden Font-Packs angegeben, um die Täuschung abzurunden.

Dank gefälschter Absenderadresse (no-reply@dropbox.com) sowie typischem Dropbox-Design wirkt auch die Spam-Mail authentisch. Die gefälschte Dropbox-Website ist hingegen durch einen Blick auf den Domainnamen (“dar-alataa”) sowie durch die unverschlüsselte Verbindung recht leicht als Fälschung identifizierbar. Auch der Dateiname des Font-Updates – Win.JSFontlib09.js – sollte aufgrund der JavaScript-Endung misstrauisch machen


(ovw)