Der BSI CERT-Bund warnt aktuell vor einem Angriff mit Spam-Emails, die angeblich von dem beliebten Filehosting-Dienst Dropbox kommen und den schon seit langer Zeit bekannten Verschlüsselungstrojaner Locky verteilen.
Nach einer Analyse der IT-Sicherheitsorganisation Internet Storm Center (ISC) führt ein in den Spam-Emails enthaltener Link die Empfänger der Emails zur Account-Überprüfung auf eine nachgemachte Dropbox-Internetseite. Diese Seite behauptet dann, dass der Vorgang wegen eines fehlenden Fonts mit der Bezeichnung „HoeflerText“ nicht abgeschlossen werden könne.
Macht ein Benutzer dann den Fehler, auf den „Update“-Link eines sich öffnenden Popups zu klicken, erhält er dann anstelle des angekündigten Fonts einen JavaScript-Downloader. Und der installiert nach der Analyse des ISC wiederum die üble Windows-Malware Locky in der schon seit August bekannten Variante mit der Endung „.lukitus“ auf dem betroffenen Rechner.
Durch die gefälschte Absenderadresse no-reply@dropbox.com und das typische Dropbox-Design wirkt die Spam-Mail leider ziemlich authentisch. Die gefälschte Dropbox-Website ist allerdings durch einen einfachen Blick auf den Domainnamen “dar-alataa” und durch die unverschlüsselte Verbindung ziemlich offensichtlich als Fälschung zu erkennen.
Seien Sie also bitte vorsichtig bei Emails von Dropbox, die Sie zu einem Font-Update auffordern…
Screenshot: ISC