Gefälschtes Font-Update installiert Locky-Trojaner

Das Emergency-Response-Team des BSI CERT-Bund warnt derzeit vor einer Spam-Kampagne, die unter dem Namen des beliebten Filehosting-Dienstes Dropbox den Verschlüsselungstrojaner Locky verteilt. Laut einer Analyse der IT-Sicherheitsorganisation Internet Storm Center (ISC) lotst ein in den Spam-Mails enthaltener Link die Empfänger zur Account-Verifizierung auf eine gefälschte Dropbox-Website. Die behauptet, dass der Vorgang aufgrund eines fehlenden Fonts namens „HoeflerText“ nicht abgeschlossen werden könne.

Klicken Nutzer daraufhin auf den „Update“-Link eines sich öffnenden Pop-ups, so erhalten sie statt des angekündigten Fonts einen JavaScript-Downloader. Dieser installiert nach Angaben des ISC die Windows-spezifische Malware Locky in der bereits seit August bekannten Variante mit „.lukitus“-Endung auf dem System.

Dank gefälschter Absenderadresse (no-reply@dropbox.com) sowie typischem Dropbox-Design wirkt auch die Spam-Mail authentisch. Die gefälschte Dropbox-Website ist hingegen durch einen Blick auf den Domainnamen („dar-alataa“) sowie durch die unverschlüsselte Verbindung recht leicht als Fälschung identifizierbar. Auch der Dateiname des Font-Updates – Win.JSFontlib09.js – sollte aufgrund der JavaScript-Endung misstrauisch machen.

2017-09-02T16:12:03+00:00