Vor einem dramatischen Anstieg gefährlicher Spam-Mails mit Javascript-Anhängen warnt die IT-Security-Spezialistin Eset. Diese seien nicht nur lästig, sondern hätten zudem die Ransomware namens "Shade" (oder auch "Troldesh") im Gepäck. Wer den Javascript-Anhang unvorsichtigerweise anklickt, aktiviert ihn und lädt sich ungewollt die Erpressersoftware auf den eigenen Rechner. Die Kampagne begann schon im Oktober, legte zum Jahresende hin eine Pause ein und setzte im Januar mit doppeltem Volumen zu einem Neustart an, heisst es.
„Eset-Telemetriedaten zeigen, dass die Angriffe exakt zu den Zeitpunkten pausieren, an denen Unternehmen ihre Arbeit reduzieren“, kommentiert Sicherheitsspezialist Thomas Uhlemann von Eset. „Das war zum einen die Weihnachtszeit und zum anderen sind es die Wochenenden in der aktuellen Kampagne.“
Die Kampagne konzentriert sich vor allem auf den russischen Raum mit 52 Prozent der Erkennungen, schwappt aber laut Eset auch auf Deutschland über. Weitere betroffene Länder sind demnach die Ukraine, Frankreich und Japan. Die potentiellen Opfer erhalten Mails in russischer Sprache und geben vor, von legitimen russischen Unternehmen zu stammen und über eine Bestellung zu informieren. Absender scheinen etwa die russische Bank B&N oder die Handelskette Magnit zu sein.
Die Sicherheitsforscher ordnen die Kampagne als Teil eines übergeordneten Trends ein, mit dem schädliche JavaScript-Dateien als Angriffsvektor ein Comeback feiern. Die angehängten Archive mit Bezeichnungen wie „info.zip“ oder „inf.zip“ enthalten eine Javascript-Datei. Deren Ausführung sorgt für das Herunterladen eines bösartigen Loaders von Wordpress-Sites, die zuvor durch automatisierte Brute-Force-Attacken kompromittiert wurden. Dort verbirgt sich die Malware in Bilddateien, die alle auf „ssj.jpg“ enden – die Telemetrie von Eset fand Hunderte von ihnen.
Um sich gegenüber dem Betriebssystem zu legitimieren, ist der Loader darüber hinaus mit einer vermeintlichen Signatur von Comodo versehen. Dadurch wird seine Identifizierung im System erschwert. Um sich noch besser zu tarnen, gibt sich der Loader als legitimer Systemprozess Client Server Runtime Process (csrss.exe) aus. Die Schadsoftware kopiert sich selbst in C:\ProgramData\Windows\Windows\csrss.exe, wobei "Windows" ein versteckter Ordner ist, der von der Malware erstellt wurde. Er befindet sich normalerweise nicht im Programdata-Verzeichnis. Die Malware, die sich nun als Systemprozess ausgibt, verwendet Versionsdetails, die von einer legitimen Windows Server 2012 R2-Binärdatei kopiert wurden.
Um nicht Opfer der neuen Ransomware-Welle zu werden, sollten Anwender immer die Authentizität von E-Mails prüfen, bevor sie Anhänge öffnen oder auf Links klicken, empfiehlt Eset. Für Gmail-Benutzer ist es nützlich zu wissen, dass Gmail Javascript-Anhänge in empfangenen und gesendeten E-Mails bereits seit fast zwei Jahren blockiert. Anwender können derartige Bedrohungen am besten durch einen zuverlässigen Malware-Schutz aussperren.
Auch Betreiber von WordPress-Websites können einiges tun, um nicht von Cyberkriminellen für ihre Zwecke missbraucht zu werden. Neben dem Einsatz einer hochwertigen Sicherheitslösung gehören die Nutzung eines sicheren Passworts sowie einer Zwei-Faktor-Authentifizierung. Ausserdem sollten Webseitenbesitzer unbedingt sicherstellen, dass Wordpress selbst sowie Wordpress-Plugins und -Designs regelmässig aktualisiert werden.
