ALARMSTUFE GELB – vermehrte Trojaner Emails durch Hack von Outlook / Exchange Mailservern

Da jetzt 2 Mails in 2 Tagen aufgetaucht sind, die Trojaner enthalten und dem gleichen Schema folgen, und wir von mehr wissen, muß ich folgende Warnung abgeben:

Achten Sie dringend darauf:
KEINE ATTACHMENTS ANKLICKEN/SPEICHERN/AUSFÜHREN .

 

Die Trojaner Emails sind an folgendem Muster erkennbar

ZIP Attachment mit 4-5 Buchstaben als Filename.

Der Inhalt der Email knüpft an eine Korrespondenz an, die Ihr mit einem Kontakt früher hattet.

I.d.R. so was: „Ich habe Ihnen gestern ein Dokument gesendet. Ist es dir angekommen?“

UND Umlaute gibts nicht mehr im Text, es gibt Buchstabendoppler und andere Bugs:

Sehr geehrte Projektbeteiligte,
im Anhang erhalten Sie das Protokoll Nr.: 208/AA 012 zur Baubesprechung vom 01.11.2024 zu Ihrer Kenntnisnahme und frIhre Unterlagen.
Termin der nchsten Baubesprecchng 019:
Bei Rckfrgen stehen wir Ihnen gerne zurr Verfgung.
Mit freundlichen Gren

MAßNAHMEN:

  1. Attachment mit der rechten Maus anklicken -> Anhang löschen
  2. Mail nicht löschen, zwecks Beweissicherung. Kann nach 6 Monaten weg.
  3. echten Kontakt über bekannte! Kontaktwege informieren, daß deren Outlook/Exchange gehackt wurde:

Diese Links mitschicken:

https://thehackernews.com/2024/02/critical-exchange-server-flaw-cve-2024.html

http://blog.fefe.de/?ts=9b3393bb

https://krebsonsecurity.com/2024/02/fat-patch-tuesday-february-2024-edition/

Weil:

Rapid7’s lead software engineer Adam Barnett highlighted CVE-2024-21413, a critical remote code execution bug in Microsoft Office that could be exploited just by viewing a specially-crafted message in the Outlook Preview pane.

Narang called special attention to CVE-2024-21410, an “elevation of privilege” bug in Microsoft Exchange Server that Microsoft says is likely to be exploited by attackers. Attacks on this flaw would lead to the disclosure of NTLM hashes, which could be leveraged as part of an NTLM relay or “pass the hash” attack, which lets an attacker masquerade as a legitimate user without ever having to log in.

Brian Krebs kommentiert dazu:

BrianKrebs @briankrebs

„IDK when Microsoft knew what, but this was definitely a vulnerability that was going to get reverse engineered and pounced on. It’s a scroll-your-Outlook-inbox-and-get-pwned bug. This could get bad quick.“

Und Ja, Brian Krebs hat recht, die Hütte brennt lichterloh!

LIEGT DER HACK BEI IHNEN?

Wenn Sie Outlook einsetzen, dann stellen Sie sicher, daß es alle Updates bekommen hat. Wenn Sie nicht auf dem neuesten Stand sind, könnten Sie betroffen sein. Wir empfehlen sofort auf Thunderbird umzusteigen, sollten keine Updates einspielbar sein.

Die Anzahl der Hacks in Emails im Zusammenhang mit den Outlook/Exchange Hacks nimmt rapide zu.

Daher kontaktieren Sie Ihre IT, informieren diese ggf. mit den obigen Links und lassen Sie alles Updaten.

PVA: Emails abhören mit Carola

Wieso labbert Mich Deine Carola voll, ich soll in die Küche kommen?“ fragte meine Freundin und zog wieder ab, weil ich nur verschmitzt grinste. Ein erfolgreicher Testlauf, auch wenn der technisch gar nicht Ihr galt, sondern natürlich Carola selbst. Naja, irgendwie braucht man ja Feedback 😉

PVA: Emails abhören mit Carola

Da Carola jetzt meine Email mitlesen kann und davon auch heftigst Gebrauch macht, genau wie mein Emailprogramm, sollte ich Euch jetzt erklären Sie das geht. Vorher sollte ich aber noch erwähnen, daß mein Test darin bestand mir am Handy eine Email zu schreiben, in deren Betreff die Anweisung für meine Freundin enthalten war 😉 Das sie in die Küche kam, war der Beweis, daß Carola den Job erledigt, wenn ich nicht da bin. Man sollte aber daran denken, daß, wenn man so etwas vorhat, man vorher sicherstellen muß, daß die Zielperson für die Ansprache auch in Hörweite ist 🙂

Erstmal die Regeln:

1) Das ist kein Feature, daß man global aktiviert, ergo, es gehört in eine Konfig in Eurem $HOME.

2) Ihr könnt Euch aussuchen, ob nur der Betreff oder die ganze Email gelesen werden soll.

3) Wer GTTS benutzt, sollte sich ihm klaren sein, daß Google damit Infos bekommt, die es nicht haben sollte. Also im Zweifel MaryTTS nutzen, da sind die Emailinhalte sicherer.

4) Es wird nur die INBOX ausgelesen, nicht irgendwelche Unterverzeichnisse.

5) Es wäre eine Straftat nach §303b StGb, einen entsprechend konfigurierten Sprachassistenten von Extern mit Mails zu bombardieren, um Werbung oder sonstige Parolen in die Welt schreien zu lassen. Ich rate dringend von solchem Unsinn ab, das wird für Euch nicht gut ausgehen:

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er

1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

So aktiviert Ihr das IMAP-Feature

Die Konfiguration im Format …

# mailbox:"servername","username","password","commonname","secure","port","readoutloud","pullinterval"

kommt in ein Konfigfile unter ~/.config/pva/conf.d/ z.B. 09-imap.conf .

Beispiel:

mailbox:"imap.domain.de","harry.mud@gmail.com","30243klSXLS3os3S!X#","Mailbox from Harry Mudd","true","143","false","60"

Der Flag „readoutloud“ (false/true) würde die gesamte Email vorlesen, wenn er aktiviert (true) ist.

Im Beispiel ist der Benutzername des Kontos als Email angegeben, so wie das bei einigen Diensten der Fall ist. Ihr braucht eigentlich nur Server- , Username und Passwort, der Rest ist eigentlich bis auf readoutloud egal. Gewöhnt Euch nicht dran, fliegt vermutlich raus.

Ihr könnt beliebig viele Mailboxen eintragen.

Das passiert dann

Die Mailbox wird 1x pro Minute geöffnet und ermittelt, ob eine neue Email da ist. Ist eine neue Email vorhanden UND diese noch ungelesen, dann wir per Sachausgabe der Absender und der Betreff vorgelesen.

Gewöhnt Euch aber daran, daß nach dem Starten des Desktops die nächtliche Flut von Emails abgearbeitet wird. Konten mit aktiven Cryptonews-Mailinglisten würde ich da nicht eintragen, daß wäre mir zu stressig 🙂

Wichtige Security Info dazu:

PVA: kleines Sicherheitsloch im IMAP Modul

… und weiter im Text:

Damit Ihr keine neue Features mehr verpasst, habe ich Euch ein Fedora Repository eingerichtet. Am besten lest Ihr Euch das hier mal nach:

PVA: Carola hat Ihr eigenes Repo bekommen

Spearphising mit den eigenen Mails

Da ich gerade aus unserer Kundschaft die zweite Information zu so einem Vorfall bekommen habe, möchte ich Euch heute vor einer aktuellen Phishing Methode mit besonders hoher Erfolgswahrscheinlichkeit warnen.

Spearphising mit den eigenen Mails

Zwei unserer Kunden haben sich mit seltsamen Emails an uns gewendet, beide hatten DOCX Anlagen dran, aber der Inhalt war eine alte Email, die von dem vermeintlichen Absender an das Opfer früher schon einmal gesendet wurde.

Da kommen nur zwei Ursachen für in Frage: ein Hack eines Pcs oder der Hack den Mailserverkontos.

Klar, ein Hack des Mailservers an sich wäre auch möglich, aber deutlich unwahrscheinlicher als der Hack von einem Windows PC. In einem Fall konnten wir das aufklären, da sind die Angreifer an die Daten des Mailkontos und die darin befindlichen Emails gelangt. Ob der PC geknackt wurde und die Daten da abgezogen wurden, oder ob die per BruteForce den Mailserver durchgetestet haben, ist nicht bekannt. Da der Mailserver über eine Bruteforcesperre verfügt, ist der Hack des Windows PCs wahrscheinlich.

In dem aufgeklärten Fall, ist der PC/Konto des Absenders des Virus-Docxs gehackt worden. Es würde ja auch nur bedingt Sinn machen, einem bereits infiltrierten PC noch mal einen Trojaner zu schicken, oder? 🙂

Wenn Euch also demnächst DOCX Files in Emails unterkommen, die Ihr die Tage vorher schon mal ohne Virusanhang in der Post hattet, dann ruft den Absender sofort an und informiert ihn über den Vorfall, weil er/sie/es dann ein dickes Problem hat.