"Hallo, Unbekannter": Neue Welle von Liebesbetrug verbreitet Malware gezielt in Deutschland

Große Liebe oder große Gefahr? Vermeintliche Liebeserklärungen per E-Mail verleiten Deutsche zum Download von Schadsoftware.

Deutschsprachige Nutzer sind das Ziel einer laufenden Cyberangriff-Kampagne. Romantische E-Mails, die Videos und Bilder mit mehr als nur harmlosen Inhalten versprechen, entpuppen sich als bösartige Falle.

Diese Form des Liebesbetrugs nutzt ein Traffic Distribution System (TDS) namens Keitaro TDS, um Opfer auf schädliche Domains umzuleiten. Wie ein Bericht von Sublime zeigt, enthalten die E-Mails Formulierungen, die explizite Inhalte suggerieren, wenn die Empfänger auf den angegebenen Link klicken würden.

"Hallo, Unbekannter. Ich bin nicht die Eine, die sich auf Anhieb ganz gibt. Aber manchmal ist das Verlangen, intensiv gespürt zu werden.", beginnt eine typische E-Mail.

"Ich habe ein Päckchen nur für dich bereitgestellt." Darunter folgt eine Vorschau mit mehreren Videos.

So funktioniert der Betrug: Deutschsprachige Nutzer erhalten E-Mails mit zwei schädlichen Links. Einer ist im Vorschaubild des Videos eingebettet, der andere verweist auf eine Archivdatei.

Klickt das potenzielle Opfer auf einen der Links, prüft das System zunächst, ob sich die Person in Deutschland befindet. Nach der Bestätigung des Standorts wird im Hintergrund heimlich eine 300 MB große ISO-Datei (die als schädlicher Payload fungiert) von einem Server in Russland heruntergeladen.

Dieses System ermöglicht es Betrügern, gezielt Opfer in bestimmten Regionen anzugreifen, in diesem Fall Deutschland. Die Cyberkriminellen können sogar feststellen, ob sich potenzielle Opfer zu einem bestimmten Zeitpunkt in Deutschland befinden. So schaffen die Betrüger optimale Bedingungen für erfolgreichen Betrug, da sie ihre Angriffe präzise auf eine bestimmte Zielgruppe ausrichten.

Die heruntergeladene ISO-Datei verbirgt ihre wahre Absicht und hat sicher nichts mit Romantik oder Liebe zu tun. Beim Öffnen erstellt sie ein Laufwerk mit einem Programm namens "lovely_photos.exe" mit einer Textdatei und einem Passwort. Um das Programm auszuführen, muss das Passwort "love" eingegeben werden, wie im obigen Bild zu sehen ist. Danach startet ein verstecktes Skript ein Tool namens AutoIt.

In diesem Fall dient es dazu, ein schädliches Skript auszuführen, das Antivirus-Prüfungen umgeht und einen Prozess namens DragonMapper einrichtet. Dadurch wird sichergestellt, dass die Malware bei jedem Computerstart automatisch ausgeführt wird.

Der Bericht gibt keine Auskunft darüber, warum die Betrüger gezielt deutschsprachige Nutzer ins Visier nehmen. Da diese Angriffe noch andauern, enthält der Bericht auch keine Informationen über die Anzahl der Opfer oder die Höhe der erbeuteten Summe.