Nur 22 Stunden brauchen Malware-Autoren im Schnitt für eine Kampagne mit schädlicher Software, die auf aktuelle Ereignisse und Nachrichten zurückgreift. Dies geht aus einer aktuellen Meldung des E-Mail-Sicherheitsanbieters Eleven hervor. Echtzeit-Malware-Kampagnen zeichnen sich typischerweise dadurch aus, dass den Empfängern exklusive Hintergrundinformationen zu einem aktuellen Thema versprochen werden, zum Beispiel zum Krieg in Syrien. Die in den E-Mails enthaltenen Links führen neugierige und unvorsichtige User in der Regel jedoch nicht zu der Nachricht, sondern zu infizierten Websites.

Die Spammer verkürzen die Zeit immer stärker, die sie zum Erstellen einer neuen Kampagne benötigen: Dieser Fall verdeutlicht den Trend der stark abnehmenden Reaktionszeit zwischen dem Ereignis und einer Malware-Kampagne. Zum Vergleich: Schnelle Spammer brauchten im März 2013 nach der Papstwahl noch 55 Stunden zum Start einer erster Kampagne. Nach dem Terroranschlag in Boston im April 2013 waren es nur noch 27 Stunden. Weitere Anlässe im Sommer 2013 waren die Geburt des britischen Thronfolgers George sowie Meldungen über den US-Whistleblower Edward Snowden. Zuletzt lagen im Schnitt zwischen Ereignis und Kampagne nur noch 22 Stunden.

Und inzwischen sind Cyberkriminelle sogar schneller als die aktuellen Geschehnisse selbst – und erfinden auch Nachrichten, die angeblich aus Syrien stammen. Eleven berichtet einen Fall von „vorzeitigem Spamming“ mit Schadsoftware: Am 6. September 2013 verbreiteten einige Malware-Versender voreilig eine Falschmeldungen zu einem angeblichen Bombenangriff der USA auf Syrien und verschickten massenhaft E-Mails mit den angeblichen Absendern CNN und BBC und dem Betreff „The United States Began Bombing“. Zu diesem Zeitpunkt hatte es allerdings weder eine Entscheidung zu einem Militäreinsatz der USA in Syrien gegeben, noch fand dieser Angriff bis heute statt.

Problematisch an der verkürzten Dauer zwischen Ereignis und Spamkampagne ist, dass viele E-Mail- und Virenscanner solche Mails nach einem Update zwar erkennen. Laut Eleven dauert es jedoch in der Regel zwischen 34 Sekunden und 24 Stunden, bis das Update mit der Information auf allen Rechnern vorhanden ist. Je mehr Zeit zwischen dem Ereignis und der aktuellen Virensignatur liegt, desto mehr Zeit hat die Malware, sich auf Rechnern zu verbreiten. Dabei sind private User in der Regel stärker gefährdet als solche in gesicherten Firmennetzwerken. Den in letzteren erkennen Scanner auf Basis heuristischer Verfahren schädliche Links in E-Mails automatisch.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.