Angebliche Telekom-Online-Rechnung infiziert System

Wie unsere Kollegen von heise online herausgefunden haben, befinden sich derzeit gefälschte Rechnungen der Deutschen Telekom im Umlauf, die den Rechner infizieren und vermutlich zum Teil eines Bot-Netzes machen können. Die Online-Rechnungen sehen dabei einem Original täuschend ähnlich.

Wer derzeit eine E-Mail der Deutschen Telekom erhält, die zu Zwecken der Online-Rechnungsversendung verschickt wurde, der könnte auch auf einen Betrugsversuch von bisher Unbekannten schauen. So sollen aktuell täuschend echt aussehende falsche Online-Rechnungen im Umlauf sein, die über ein präpariertes PDF im Anhang eine alte, aber schwer zu erkennende Sicherheitslücke in Adobes Reader ausnutzen. Die E-Mail soll sich äußerlich oder anhand des Absenders nicht von einer echten Rechnungs-E-Mail unterscheiden lassen, lediglich die persönliche Anrede fehlt.

Die angehängte Rechnungs-PDF hält allerdings mehr Überraschungen bereit als nur einen fiktiven Rechnungsbetrag. Die präparierte Datei nutzt eine Sicherheitslücke des PDF-Readers von Adobe aus, die zwar schon 2010 geschlossen wurde – der Exploit wird von den meisten Virenscannern aber nicht erkannt. Es ist auch noch nicht ausgeschlossen, dass der PDF-Schädling darüber hinaus weitere Sicherheitslücken nutzt.

Im Falle einer erfolgreichen Infektion werden weitere Programmkomponenten heruntergeladen, die dann unter anderem das Adressbuch des Nutzers auslesen und die Verbindung zu einem Command-Server herstellen. Es werden also Bot-Netz-Strukturen installiert. Damit dies nicht so einfach passieren kann, ist dringend zu empfehlen, den Adobe Reader (und Software generell) auf dem neuesten Stand zu halten. In diesem speziellen Fall kann es auch nützen, einen alternativen PDF-Reader zu nutzen, da der Exploit nur den Adobe Reader betrifft.