Laut CERT-Bund (CERT-Bund, das Computer Emergency Response Team für Bundesbehörden) sind momentan Spam-Mails im Umlauf, die als Absender den Filehoster Dropbox vortäuschen. Im Zuge einer Account-Verifizierung wird Nutzern ein angebliches Font-Update (Schriftart-Update) untergejubelt. Hinter diesem lauert jedoch die Ransomware Locky.
Vom ISC veröffentlichte Screenshots zeigen, dass das Design der Pop-ups auf den jeweiligen Browsers abgestimmt ist. In Firefox und Chrome werden die Mozilla Corporation beziehungsweise Google als Urheber des zu installierenden Font-Updates angegeben, um die Täuschung abzurunden.
Dank gefälschter Absenderadresse (no-reply@dropbox.com) sowie typischem Dropbox-Design wirkt auch die Spam-Mail authentisch. Die gefälschte Dropbox-Website ist hingegen durch einen Blick auf den Domainnamen („dar-alataa“) sowie durch die unverschlüsselte Verbindung recht leicht als Fälschung identifizierbar. Auch der Dateiname des Font-Updates – Win.JSFontlib09.js – sollte aufgrund der JavaScript-Endung misstrauisch machen.
Quelle: heise.de, CERT-Bund
UPDATE, 2017-0905:
Locky/Nemucod wurde diese Woche auch über gefälschte Apple Rechnungen mit „7z“-Anhang verteilt