“Cutwail” überschwemmt die Schweiz

Die Schweiz erreicht zur Zeit eine neue Spamwelle. Verursacher dieser Massen an Spam-Mails ist das größte Spambot Netz mit dem Namen “Cutwail” (bekannt unter: Pandex, Mutant und Pushdo). Der Cutwail hatte seinen Höhepunkt vor ca. 5 Jahren mit ca. 1.6 Mio. infizierten Rechnern. Laut Sicherheitsexperten ist der Cutwail wieder reaktiviert worden,  steigende Spamwellen mit infizierten HTML-Emails sprechen für sich.

So, oder ähnlich könnte der Inhalt der Spam-Mail aussehen:

Von: reportbank@ag.ch
Subject: Re: onjuist ingevulde NATXXXX belastingformulier
Helaas u op de hoogte dat je hebt fouten gemaakt bij het invullen van de laatste belastingformulier applicatie (ID: XXXXX).
vindt u het advies van onze fiscalisten Op deze Link
(1 minuut Wacht tot rapport zal beladen)

Wij vragen u om corrigeer de fouten en Bestand de herziene aangifte aan uw Lokale belastingkantoor zo snel mogelijk.

Kanton Aargau
Sonja Urech
Sachbearbeiterin Wehrpflichtersatzverwaltung
Departement Gesundheit und Soziales
Abteilung Militär und Bevölkerungsschutz
Rohrerstrasse 7, Postfach, 3352 Aarau
Tel:. +41 (0) 62 362 31 35
Fax: +41 (0) 62 365 62 18

Der Absender, das Schweizer Kanton Aargau, soll den Anschein erwecken, dass diese E-Mail von offizieller Seite zu kommt. Eine Frage stellt sich aber: Der Inhalt der Mail ist auf niederländisch, wie viele Schweizer sprechen wohl niederländisch?! Diese Spamflut ging aber nicht nur an Schweizer .CH-Adressen, sondern auch in .net, .com und andere Netze.

Zusätzlich enthält die Spam-E-Mail Hyperlinks, die Sie auf kompromittierte Internetseiten leiten sollen.

hxxp :/ / robfama.com / Kompetenzzentrum.htm

Die nachgebaute Internetseite des Kantons Aargau sieht verblüffend echt aus und auch beim Aufruf der Webseite, wird dem Nutzer nichts verdächtiges auffallen.

Startseite Kanton Aargau
Startseite Kanton Aargau

Doch der Schein trügt: Ein Blick in den Quelltext und ein Blick des geübten Insiders, erkennt sofort den einleitenden JavaScript Code, der den bösartigen Code aus Korea nach lädt.

hxxp :/ / africanbeat.net / erkennt / urgent.php
africanbeat.net  222.238.109.66

[Network Information] IPv4-Adresse: 222.232.0.0 – 222.239.255.255 (/ 13)
Service Name: broadNnet
Name der Organisation: SK Broadband Co Ltd
Organization ID: ORG3930
Adresse: 267, Seoul Namdaemunno 5 (o)-ga Jung-gu SK NamsanGreen Bldg.
Zip Code: 100-711
Datum der Registrierung: 20040402

Die Website (africanbeat.net) wird von Cyberkriminellen betrieben und beinhaltet ein Exploit-Kit namens “Blackhole“. Der Blackhole ist in der Lage, verschiedene bekannte Schwachstellen im Web-Browser, aber auch verschiedene Browser-Plugins aus der Adobe Familie und Java  von Sun aus zu nutzen.

Gnadenlos nützt Blackhole Sicherheitlücken bei alter Software aus und versucht Schadcode, in dem Fall ein Banking-Trojaner ZeuS-P2P auf dem System zu installieren. Der P2P-ZeuS verwendet zu Kommunikation keine zentrale IP für das Botnet, also ist es nicht ganz so einfach diese von der eigenen Infrastruktur zu blocken. Allerdings kommuniziert der P2P-ZeuS über eine sogenannte P2P-Funktionalität.

Empfehlungen:

  • Halten Sie Ihr System immer aktuell. Unser Browser-Check bzw. Online-System-Check sind einfach zu bedienen und sollten regelmäßig durchgeführt werden.
  • Nutzen Sie Script-Blocker, wie z.B. NoScript (Firefox) bzw. QuickJS (Android).
  • Blockieren Sie ausgehenden TCP- und UDP-Ports höher als 1024 auf der Firewall. Weiterhin sollten diese IPs und Domains blockiert werden:
    • 222.238.109.66 (Blackhole Exploit-Kit-Hosting)
    • africanbeat.net (Blackhole Exploit-Kit-Hosting)
    • 63.143.53.180 (Malware DNS-Server)