/ Security / Spam-Kampagne: Gefälschtes Font-Update installiert Locky-Trojaner

Spam-Kampagne: Gefälschtes Font-Update installiert Locky-Trojaner

Moritz Rosenfeld on September 1, 2017 - 8:05 pm in Security

Laut CERT-Bund sind momentan Spam-Mails im Umlauf, die als Absender den Filehoster Dropbox vortäuschen. Im Zuge einer Account-Verifizierung wird Nutzern ein angebliches Font-Update untergejubelt. Hinter dem lauert aber die Ransomware Locky.

Das Emergency-Response-Team des BSI CERT-Bund warnt derzeit vor einer Spam-Kampagne, die unter dem Namen des beliebten Filehosting-Dienstes Dropbox den Verschlüsselungstrojaner Locky verteilt. Laut einer Analyse der IT-Sicherheitsorganisation Internet Storm Center (ISC) lotst ein in den Spam-Mails enthaltener Link die Empfänger zur Account-Verifizierung auf eine gefälschte Dropbox-Website. Die behauptet, dass der Vorgang aufgrund eines fehlenden Fonts namens “HoeflerText” nicht abgeschlossen werden könne.

Klicken Nutzer daraufhin auf den “Update”-Link eines sich öffnenden Pop-ups, so erhalten sie statt des angekündigten Fonts einen JavaScript-Downloader. Dieser installiert nach Angaben des ISC die Windows-spezifische Malware Locky in der bereits seit August bekannten Variante mit “.lukitus”-Endung auf dem System.

Pop-ups passend zum Browser-Design

Vom ISC veröffentlichte Screenshots zeigen,dass das Design der Pop-ups auf das Look and Feel des jeweiligen Browsers abgestimmt ist. In Firefox und Chrome werden die Mozilla Corporation beziehungsweise Google als Urheber des zu installierenden Font-Packs angegeben, um die Täuschung abzurunden.

Dank gefälschter Absenderadresse ([email protected]) sowie typischem Dropbox-Design wirkt auch die Spam-Mail authentisch. Die gefälschte Dropbox-Website ist hingegen durch einen Blick auf den Domainnamen (“dar-alataa”) sowie durch die unverschlüsselte Verbindung recht leicht als Fälschung identifizierbar. Auch der Dateiname des Font-Updates – Win.JSFontlib09.js – sollte aufgrund der JavaScript-Endung misstrauisch machen (ovw)

Read more on: Source

Comments are disabled