Von der Sorte Mails habe ich gestern und heute ca. 30 Stück bekommen, ca. 5-mal soviele habe ich auf dem Server in unseren Useraccounts gelöscht. Auf den ersten Blick sah die Mail relativ normal aus wie einer der üblichen Notifier für eine Grußkarte, beim zweiten Blick sah man dann, daß der Link jede Menge (schlecht) verschleierten JavaScript-Code enthält und beim Klick ein I-Frame in der Mail öffnet.
Es wird über das I-Frame code von einem spanischen Rechner in Barcelona (IP: 62.175.166.11) geholt. Dieser Rechner scheint wohl ein gehackter Kundenrechner eines Kabelnetzanbieters zu sein. Anscheinend ist der Rechner schwer unter Last (viele werden wohl klicken), so daß ein Versuch den Code abzuholen fehlgeschlagen ist, ich würde aber mal auf einen WMF-Exploit und/oder Trojaner tippen.
Also Vorsicht bei derartigen Mails.
Olaf19
xafford
