Heute noch eine Warnung vor eine personalisierten Malware-Kampagne, die versucht, über eine Zahlungsaufforderung einen Trojaner auf die Windows-Systeme der Opfer zu installieren.
Anzeige
Ich habe gestern mal wieder den Spam-Ordner eines Postfachs, welches ich für Online-Aktivitäten angebe, inspiziert. Dabei sind mir mehrere Phishing- und ein Trojaner-Angriff aufgefallen. Morgen gibt es einen Hinweis auf einen Phishing-Angriff – nachfolgend möchte ich den personalisierten Malware-Angriff mit angehängtem Trojaner dokumentieren.
Personalisierte Mail mit obskurem Anhang
Die Mail, die ich im Spam-Ordner des E-Mail-Anbieters (auf der Suche nach einer elektronischen Rechnung) fand, hatte es in sich. In der Mail wurde eine unbezahlte Rechnung angemahnt. Die Anrede im Schreiben war korrekt – und es gab auch einen Bezug auf eine (fingierte) Zahlungsaufforderung mit einer Nummer. Angeblich sollte eine Rechnung bei der Directpay GmbH nicht bezahlt worden sein.
Es wurde ein Inkasso zum Eintreiben des angeblich offenen Rechnungsbetrags angedroht. Was auffiel: Die im Abschnitt 'Gepeicherte Daten' aufgelistete Adresse und Telefonnummer war korrekt. Normalerweise kann man diese Daten über das Impressum meiner Webseite oder über die Admin-C-Daten meiner Domains herausbekommen. Dann passt aber die E-Mail-Adresse nicht. Da die Nachricht mit einer fingierten eBay-Adresse abgeschickt wurde, vermute ich, dass die Daten in diesem Umfeld geleaked wurden (speziell, da ich seit sehr langer Zeit vor ein paar Tagen einen Kauf getätigt habe – so dass alles passt – aber sicher bin ich nicht).
Anzeige
Bei der obigen Mail störten aber einige Sachen gewaltig, so dass ich den Fall für interessierte Mitleser als Lehrstück dokumentieren möchte.
- Einmal irritieren die Sonderzeichen in der Adressangabe zwischen meinem Namen und dem Vornamen. Die Adressdaten scheinen also aus einem anderen Zeichensatz zu stammen – professionell ist das nicht.
- Die gestelzte Absenderangabe 'Stellvertretender Sachbearbeiter …' kommt (hoffentlich) in keinem deutschen Unternehmen zur Anwendung.
- Um rechtskonform zu sein, müsste der Schriftsatz in Papierform an eine ladungsfähige Adresse zugegangen sein – sonst hätte in Inkasso-Unternehmen keine Möglichkeit, Forderungen gerichtlich einzutreiben.
Gibt noch einige orthographische ('zu Ihrer Last') und inhaltliche (sich widersprechende Datumsangaben) Schnitzer. Der gravierendste Fehler war aber, dass die Forderung nicht im Text benannt, sondern angeblich angefügt war. Die dort aufgeführte ZIP-Datei 'roch' nur so nach Malware. Für mich war sofort klar, dass es sich um einen Malware-Angriff handelt, der aber, wegen der Personalisierung, aufwändiger als übliche Malware-Kampagnen war.
Kurze Analyse des Anhangs
Der Umstand, dass die Mail bereits im Spam-Ordner des Mail-Anbieters landete, deutete darauf hin, dass dieser mehrere Mails diesen Inhalts erhalten oder über andere Kriterien die Klassifizierung als Spam vorgenommen hat. Aber es gab keine Virus-Warnung.
Also habe ich versucht, die ZIP-Date Günter Born.zip auf ein Windows 7-System herunterzuladen. Der Plan war, einen kurzen Blick in das ZIP-Archiv zu werfen und dieses bei Virus Total hochzuladen. Aber so weit kam ich nicht – auf meinem Windows 7-System war Microsoft Security Essentials als Virenscanner installiert.
Sofort nach dem Download meldet sich MSE mit der obigen Meldung. Der Virenscanner hatte einen Schädling erkannt und gleich gelöscht.
Im Chrome Browser wurde mir – allerdings mit einiger Verzögerung – in der Statusleiste mitgeteilt, dass ein Virus gefunden wurde. Mein nächster Schritt war, die Microsoft Security Essentials nach Details zu befragen. Im ersten Ansatz wurde mit nichts als gefunden angezeigt. Nach einem zweiten Versuch fand ich folgende Informationen in MSE.
Es wurde der Trojaner Win32/Skeeyah.A!rfn im ZIP-Archiv gefunden und erfolgreich eliminiert. Details zu diesem Schädling finden sich auf dieser Microsoft-Seite (gelöscht). Ziel des Trojaners ist es, persönliche Daten des Computernutzers auszuspionieren.
Was mich jetzt etwas ratlos zurück lässt: Die Urheber der Malware-Kampagne treiben einen höheren Aufwand als sonst, um die Mail zu personalisieren. Dann bauen Sie aber einige Kardinalfehler ein, die diesen Aufwand wieder zunichte macht. Einen Trojaner zu versenden, der eigentlich durch diverse Virenscanner erkannt wird (der Trojaner ist seit Mitte 2016 aktiv, wie eine Websuche ergibt), ist imho wenig erfolgversprechend. Wie auch immer – vielleicht schärft der Beitrag mal wieder die Aufmerksamkeit des einen oder anderen Blog-Lesers im Hinblick auf Malware-Kampagnen.
Ähnliche Artikel:
Word-Malware zielt auf Mac OS und Windows
StoneDrill Malware löscht Festplatten und zielt auch auf Europa
Windows-Malware im Google Play Store
Malware kommt als Google Chrome-Erweiterung
Malware 'Font wasn't found' zielt auf Google Chrome
Malwareangriff auf über 100 Banken, Firmen, Behörden
Anzeige
Putzig finde ich ja, dass es laut Betreff um eine Rechnung vom 30.3.2017 geht. Und gleich am nächsten Tag schicken die eine Zahlungsaufforderung? Und "Berücksichtigt wurden alle Zahlungen bis zum 29.03.2017" … Puuh. Könnte man glatt drauf reinfallen. :)
Mein Mailprovider ist ein langweiliger Spielverderber.
Solche schicken Nachrichten werden immer hartleibig geblockt.
Ich habe das auch schon mehrfach erhalten – die persönlichen Daten kommen in meinem Fall definitiv von Ebay.
Bingo – diesen hatte ich im Sinn, als ich von einem Online-Anbieter schrieb. Wobei ich nicht weiß, ob es eBay selbst ist (ich tippe eher auf Kommunikation mit dem Händler).
Ich hatte auch schon 2 oder 3 Mal eine solche E-Mail erhalten, auch von "Directpay". Erschreckend ist, dass der Absender tatsächlich meine korrekten Daten kennt.
Anhand der Daten konnte ich aber auch erkennen, dass diese von eBay stammen müssen. Und bei meiner ersten Recherche hatte ich irgendwo gefunden, dass von eBay vor längerer Zeit User-Daten geleakt worden waren. Deswegen sind die Daten so erschreckend korrekt.
Kaspersky hatte den Dateianhang auch als Schadsoftware erkannt. Erst wollte ich die Mail samt Anhang sichern, habe mich aber dann entschieden, zu löschen und die Maildatenbank zu komprimieren.
Ah ok, Ebay hatte ich nicht in verdacht meine Daten weitergegeben zu haben, dachte eigentlich eher an das Arbeitsamt denen ich mal meine Alte Handy Nummer aus Auge gedrückt hatte.
Da ich immer dubiose Jobangebote zur Geldwäsche bekomme, die sich dann so lesen als ob sie direkt von der Arbeitsagentur kämen.
@der puritaner
Das geht mir genauso. Die Jobbörse der Bundesagentur für Arbeit ist seit Jahren eine bekannte Quelle zum Abgreifen von Daten. Da haben sich schon ganze Hundertschaften von Callcentern bedient um den Arbeitslosen anschließend irgend etwas anzudrehen.
MfG P.B.
Stört mich ja auch nicht weiter, ich hab bei fast allen Mail Providern 1-2 Mail Adressen, sobald ich eine dieser Dubiosen Mails erhalte sende ich die gleich weiter an die Forensiker der Kripo, denn irgendwer fällt ja doch mal darauf herein.
Hallo,
Hat sich wohl wieder jemand umbenannt.
Dieselbe Nachricht konnte man in den letzten Monaten von der Online Payment GmbH erhalten. Unter "über Sie gespeicherte persönliche Daten:" fand man in der Regel die korrekte Adresse und die korrekte Mobilfunknummer. Bei mir war die angegebene Mobilfunknummer veraltet (ca. 10 Jahre her).
Als Absender der Mail wurde admin@paypal.com angegeben. So versuchte man die sogenannte Payment GmbH in die Nähe von Paypal zu rücken. Anhang war eine ZIP-Datei, in der "die offene Forderung genau erklärt wird".
Selbiges gibt es auch von:
– Online Pay AG
– Pay Online 24 GmbH
– Bank Payment AG & Co. KG
– Giro Pay 24
– Online Payment AG
Per gefakter Absenderadresse wird jeweils eine Beziehung zu Paypal oder zu Ebay vorgetäuscht. Ob die verwendeten Adressdaten wirklich bei Ebay hochgezogen wurden, kann ich nicht einschätzen.
Warnungen der Verbraucherschutzzentrale stehen dazu seit längerer Zeit im Internet.
MfG P.B.
danke für die Ergänzung