WETransfer Mails mit Trojanern infiziert

Eine neue Welle mit gefälschten Emails rollt auf die Nutzer zu. Cyberkriminelle versenden massiv Mails unter dem Namen des Filehosters WETransfer Mails. Im Downloadlink dieser Mails befindet sich eine Schadsoftware, warnen die Sicherheitsexperten von Heise Securit. Die gefälschten Mails können nur schwer von echten Nachrichten unterschieden werden, deshalb sollten die Empfänger besonders aufmerksam sein.

Der Filehoster Service WETransfer wurde zur Übermittlung von großen Datenmengen eingerichtet. Er wird vor allem von Profis genutzt, die Fotos oder Videos an Kunden versenden. Dazu werden die Dateien zu WETransfer hochgeladen. Danach gibt der Absender die Zielmailadresse ein. Es ist auch möglich, einen Absender anzugeben, der dann in der Betreffzeile erscheint. Der Filehoster kontaktiert danach den Empfänger per Mail, der ein Downloadlink angefügt ist.

Die Cyberkriminellen nutzen diese Art der Übertragung. In den gefälschten Mails wird ein Zip Archiv mit Javascript Dateien geöffnet. Klickt der Nutzer diese Dateien an, installiert sich ein Trojaner auf dem Endgerät.

Fälschungen nur schwer herauszufiltern
Die Sicherheitsexperten von Heise haben festgestellt, dass die Fälschungen der WETransfer Mails sehr gut gemacht und nur schwer erkennbar sind. Sowohl die Adress-/ und Empfängerzeile als auch der Mailtext sind tadellos. Heise bekam eine solche Mail zugeschickt und konnte bereits an dem Betreff „Name_geändert@heise.de has sent you a file via WeTransfer“ erkennen, dass es sich um eine Fake-Mail handelt, denn im Unternehmen gibt es keine Person diesen Namens. Bei weiterer Untersuchung der Mail stellten die Heise-Spezialisten fest, dass der Downloadlink nicht auf die WETransfer-Domain führt.

Heise ist dem Link gefolgt und hat unter Sicherheitsbedingungen die Dateien geöffnet. Es handelt sich um drei Javascript Dateien, die nach dem herunterladen automatisch den Schädling freisetzen. Die Sicherheitsforscher vermuten, dass es sich um einen Bank-Trojaner handeln könnte, der vorwiegend auf Windows-PCs aktiv wird. Den Nutzer empfiehlt das Sicherheitsunternehmen eine genaue Prüfung aller WETransfer Mails. Wichtig ist die Prüfung der Betreffzeile und des Downloadlinks. Ein kurzes Verharren mit der Maus über dem Link ( ohne Aktionen) zeigt die Zieladresse, die nur bei echten Mails zur WETransfer-Domain führt. Alle anderen Links sollten auf keinen Fall angeklickt werden, da es sich dann 100 %ig um Fälschungen mit Schädlingen handelt.