Cyberkriminella riktar nu in sig på tysktalande användare med förföriska mejl som utlovar vuxeninnehåll – men istället levererar skadlig kod. Denna romansbluff använder flirtiga meddelanden och falska videor för att lura offer att ladda ner skadliga filer från en Rysslandsbaserad server.
”Hej främling…” – betet
Bluffen börjar med ett mejl som liknar starten på en nätromans. Ett exempel:
”Hej, främling. Jag är inte den som ger sig hän direkt. Men ibland finns en längtan att bli intensivt känd.”
Det avslutas med en frestande rad:
”Jag har förberett ett litet paket bara för dig.”
Det så kallade ”paketet” visar sig dock vara långt ifrån romantiskt. Mejlet innehåller två skadliga länkar – en inbäddad i en bildförhandsvisning och en som pekar på ett arkiv för nedladdning.
Skadlig kod med geografisk målsökning
När användaren klickar på en länk används ett distributionssystem vid namn Keitaro TDS för att kontrollera om de befinner sig i Tyskland. Om så är fallet laddar systemet i hemlighet ner en 300MB stor ISO-fil från en server i Ryssland.
Denna geografiska inriktning gör det lättare för angriparna att skräddarsy sina attacker och ökar därmed chanserna att lyckas.
Falsk video, verklig skadlig kod
Den nedladdade ISO-filen innehåller:
- Ett körbart program:
lovely_photos.exe - En textfil med lösenordet:
love
När offret startar programmet och skriver in lösenordet, körs ett dolt skript som aktiverar AutoIt. Detta används för att:
- Undvika antivirusprogram
- Skapa en schemalagd aktivitet kallad ”DragonMapper”
- Säkerställa att skadlig koden körs vid varje systemstart
Fortfarande aktiv – och farlig
Kampanjen avslöjades i en rapport från Sublime Security. Än så länge har inga siffror på antalet offer eller ekonomiska förluster publicerats. Det är heller inte klarlagt varför just tysktalande användare är måltavlan.
Bedrägeriet pågår fortfarande, och myndigheterna har ännu inte bekräftat några åtgärder för att stoppa det.
Slutsats
Det tyska romansbedrägeriet visar hur känslomässig manipulation och riktad teknik kan kringgå vanliga säkerhetsskydd. Med ISO-filer som låtsas vara kärleksbrev och skript som gömmer sig bakom romantiska löften, blir detta en tydlig varning: klicka inte på kärlek från främlingar.
0 svar till ”Tysk romansbluff sprider skadeprogram via flirtiga mejl”