Gefälschte Ticket-Reservierungsbestätigung der Deutschen Bahn infiziert Computer in Deutschland

Erst kürzlich infizierte eine Menge an Spam E-Mails die Computer der Empfänger mit dem Gamarue Trojaner. Die Malware war versteckt in einem Anhang einer E-Mail, die eine Reservierungsbestätigung für ein Ticket der Deutschen Bahn vorgab.

Die gefährliche Nachricht informierte die Nutzer über eine erfolgreiche Online Ticketreservierung und forderte sie höflich dazu auf die Fahrkarte auszudrucken, um diese dann dem Kontrolleur zusammen mit dem Ausweis vorweisen zu können.

Um die angehängten Dateien ausdrucken zu können, musste zuerst die Zip-Datei mit dem Namen „Ihren Fahrkartenkauf…“ geöffnet werden. Sobald der Nutzer die Datei öffnet, wird dessen Endgerät automatisch mit dem Trojaner Trojan.Gamarue.AV infiziert. Das Programm kann dann weitere Malware auf das System herunterladen, sensible Daten wie etwa Informationen über das Betriebssystem oder auch lokale IP-Adressen sammeln, um diese dann an ein Kontroll- bzw. Kommandocenter zu schicken. Dabei bleibt der Trojaner stets in Kontakt mit dem Angreifer und führt unbemerkt im Hintergrund Anweisungen aus. Beispielsweise kann der Trojaner weitere Dateien und Komponenten herunterladen sowie sich selbst aktualisieren und auch deinstallieren.

Um das Vertrauen der Nutzer in die E-Mail zu stärken, haben die Verbrecher in den Text einige, seriöse Links auf die offizielle Webseite der Deutschen Bahn gesetzt.

Die Angreifer nutzten die Reputation der Deutschen Bahn für die Attacke, da das Unternehmen mit Milliarden von Passagieren und Kunden jährlich in Kontakt kommt und in über 130 Ländern rund um die Welt aktiv ist. Dadurch war und ist die Menge an potentiellen Opfern sehr hoch.

Der Trojaner Gamarue ist unter den Verbrechern zurzeit sehr beliebt und wurde in einigen Spam-Kampagnen rund um die Welt wie zum Beispiel in Spanien, den USA, Australien, Rumänien, Großbritannien oder Kroatien eingesetzt. Als Beispiele für derartige Kampagnen könnten man etwa die gefälschten Versandbenachrichtigungen von FedEx oder die gefälschten Vofadone MMS Nachrichten nennen. Cyberkriminelle recyceln die meisten Kampagnen wieder und wieder jeden Monat. Teilweise werden zumindest die Telefonnummern und Datumsangaben in den E-Mails ausgetauscht.

Eine aktuell gehaltene und verlässliche Antivirus Software schützt deren Nutzer vor solchen Online Angriffen. Trotzdem sollten derartige Anhänge in E-Mails nicht geöffnet werden.

Hinweis: Alle genannten Produkt- und Firmennamen sind nur zur Identifizierung bestimmt und Eigentum oder möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.
Dieser Artikel basiert auf den freundlicherweise zur Verfügung gestellten Informationen von Bitdefender Spam Researcher Adrian Miron.