Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Confirm Urgent Payment

Freitag, 5. Juli 2019, 15:19 Uhr

Vorab: Auf gar keinen Fall den Anhang öffnen! Es ist Schadsoftware.

Account Department <account56234@ve.lt>

Kenne ich nicht. Und eine lustige Abteilung muss das sein, die einfach ihre Mitarbeiter in den Mailadressen durchnummeriert und sie dazu nötigt, sich den Kunden gegenüber „Abteilung“ zu nennen. Weil Nummern so persönlich sind. 😀

Good Day

Kindly confirm the attached payment details and do get back to me at the earliest. As i await to hear from you soon.

Dace Caldwell

PwC | Corporate Finance | Associate Director
Office: +64 3 374 30xx | Mobile: +64 27 308 91xx
Email: dace.m.caldwell@nz.pwc.com
PricewaterhouseCoopers New Zealand

In eine E-Mail einfach mal reinzuschreiben, um was zum hackenden Henker es geht, ist so etwas von gestern. Stattdessen gibt es: Guten Tag, mach den Anhang auf, und mach schnell! Und jetzt mach schon! 😯

Die Mailadresse von „Dace Caldwell“, die unten in der Mail steht, hat nichts mit der Absenderadresse der Mail zu tun – so dass schon durch bloßes Hinschauen klar wird, dass die Absenderadresse gefälscht ist. So etwas machen nur Leute, die etwas zu verbergen haben. Von daher wird der Anhang das reinste Gift sein.

Es handelt sich um ein…

$ ls -lh *.tar
-rw-rw-r-- 1 elias elias 125K Jul  5 14:37 TransferCopies.tar
$ file TransferCopies.tar 
TransferCopies.tar: POSIX tar archive
$ _

…125 KiB großes tar-Archiv. Dieses ist unkomprimiert, so dass es überhaupt keinen sachlichen Grund gibt, die Datei in einem Archiv zu verpacken, statt sie direkt anzuhängen – wenn man mal davon absieht, dass jemand mit diesem unter Microsoft Windows eher unüblichen Archivformat an einem serverseitigen Virenscanner vorbeizukommen hofft.

Ich vermute mal, dass gängige Archivierungssoftware für Microsoft Windows auch ein tar-Archiv problemlos öffnet. In diesem Archiv befindet sich allerdings kein PDF und kein Office-Dokument, sondern…

$ tar -tf TransferCopies.tar 
TransferCopies.js
$ _

…eine einzige Javascript-Datei, die bei einem Doppelklick im Windows Script Host geöffnet und ausgeführt wird. Oder anders gesagt: Es handelt sich um ein über Spam zugestelltes Programm von Kriminellen. Dieses Programm wird mit Sicherheit Schadsoftware nachladen und ausführen, so dass nach dem Doppelklick ein Computer anderer Leute auf dem Schreibtisch steht, bevor man auch nur das Wort „Scheiße“ zuende gedacht hat. Und das kann relativ unangenehm und teuer werden, zum Beispiel, wenn sich ein Erpressungstrojaner durch ein Firmennetzwerk frisst, Daten verschlüsselt und Computer sperrt (und damit unbrauchbar macht) und nur für Geld wieder entschlüsselt. Wohl dem, der ein Backup hat! Dann wird es (durch Produktionsausfälle) noch teuer genug.

Was das Programm genau macht, weiß ich nicht. Die Spammer haben sich mal wieder eine Menge Mühe damit gegeben, ihren Schadcode schwierig analysierbar zu machen. Hier nur ein Screenshot meines Editors, der einen kleinen Eindruck gibt:

Screenshot der Javascript-Datei in meinem Editor. Der Code ist vorsätzlich kryptisch programmiert

Es gibt nur einen Grund, warum jemand dermaßen kryptisch coden sollte: Um eine Analyse zu erschweren. Mir reicht die völlige Klarheit, dass es sich um ein Programm handelt, dass kein Mensch ausführen will, der sein Gehirn noch beieinander hat. Deshalb verzichte ich hier auf weitere Analysen.

Die klare Schadsoftware wird zurzeit übrigens nur von sehr wenigen Antivirus-Schlangenölen als Schadsoftware erkannt. Die meisten Menschen, die sich auf ihr Antivirus-Schlangenöl verlassen haben, sind also einmal mehr verlassen. Wer hingegen niemals einen unverlangt zugestellten E-Mail-Anhang aufmacht oder einfach ein anderes Betriebssystem als Microsoft Windows benutzt, ist vor diesem Angriff sicher.

Vorsicht, Einsicht, Wissen und Vernunft können niemals durch Software ersetzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert