Erpressungstrojaner Locky per Font-Update

Posted by GSL-Team - 2. September 2017 - News, Sicherheit - No Comments

Der BSI CERT-Bund warnt aktuell vor einem Angriff mit Spam-Emails, die angeblich von dem beliebten Filehosting-Dienst Dropbox kommen und den schon seit langer Zeit bekannten Verschlüsselungstrojaner Locky verteilen.

Nach einer Analyse der IT-Sicherheitsorganisation Internet Storm Center (ISC) führt ein in den Spam-Emails enthaltener Link die Empfänger der Emails zur Account-Überprüfung auf eine nachgemachte Dropbox-Internetseite. Diese Seite behauptet dann, dass der Vorgang wegen eines fehlenden Fonts mit der Bezeichnung „HoeflerText“ nicht abgeschlossen werden könne.

Macht ein Benutzer dann den Fehler, auf den „Update“-Link eines sich öffnenden Popups zu klicken, erhält er dann anstelle des angekündigten Fonts einen JavaScript-Downloader. Und der installiert nach der Analyse des ISC wiederum die üble Windows-Malware Locky in der schon seit August bekannten Variante mit der Endung „.lukitus“ auf dem betroffenen Rechner.

Durch die gefälschte Absenderadresse no-reply@dropbox.com und das typische Dropbox-Design wirkt die Spam-Mail leider ziemlich authentisch. Die gefälschte Dropbox-Website ist allerdings durch einen einfachen Blick auf den Domainnamen “dar-alataa” und durch die unverschlüsselte Verbindung ziemlich offensichtlich als Fälschung zu erkennen.

Seien Sie also bitte vorsichtig bei Emails von Dropbox, die Sie zu einem Font-Update auffordern…

Screenshot: ISC

 Facebook Like

No comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentarlinks könnten nofollow frei sein.