Digital Life
05.07.2016

Gefälschte Mails von WeTransfer verbreiten Trojaner

Cyberkriminelle versuchen ihre Schadsoftware per E-Mails zu verteilen, die aussehen, als würden sie vom Filehoster WeTransfer stammen.

WeTransfer ist ein bequemer Service, um unkompliziert und kostenlos Dateien mit einer Größe von bis zu 2 GB zu verschicken. Hochladen, Mail-Adresse von Absender und Empfänger eingeben, fertig. Der Empfänger erhält ein Mail mit einem Download-Link, der für einige Tage aktiv ist.

Der Service scheint populär genug geworden zu sein, um Cyberkriminelle anzulocken. Wie Heise berichtet, kursieren derzeit Mails, die denen von WeTransfer zum Verwechseln ähnlich sind. Im Falle von Heise war der Absender eine vermeintliche Mitarbeitern mit einer Heise.de-Mailadresse, die es aber gar nicht in dem Unternehmen gibt.

Trojaner

Die Mail enthält einen Link zu einer ZIP-Datei. In der Datei befinden sich JavaScript-Files. Wird eine davon ausgeführt, wird die Malware automatisch heruntergeladen und installiert. Heise vermutet, dass es sich bei der Schadsoftware um einen Banking-Trojaner handeln könnte.

Bekommt man in nächster Zeit unerwartet Mails von WeTransfer, sollte man also genau den Absender prüfen. Außerdem führt der Download-Link nicht zu einer WeTransfer-Webadresse, sondern zu einer anderen Domain. Um zu sehen wohin der Link führt, reicht in den meisten Mail-Clients ein Mouse Over (Cursor auf den Link bewegen ohne zu klicken).