{"id":178610,"date":"2016-06-24T00:09:00","date_gmt":"2016-06-23T22:09:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=178610"},"modified":"2022-06-26T18:34:05","modified_gmt":"2022-06-26T16:34:05","slug":"teure-mediamarkt-bestellung-mit-cerber-im-beifang","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/06\/24\/teure-mediamarkt-bestellung-mit-cerber-im-beifang\/","title":{"rendered":"Teure “Mediamarkt-Bestellung” mit Cerber im Beifang"},"content":{"rendered":"

Aktuell noch eine Warnung vor einer Mail, die angeblich von MediaMarkt stammt und eine vorgebliche Bestellung best\u00e4tigt. Im Beipack findet sich der Crypto-Trojaner Cerber. Update: Zwischenzeitlich haben die Betr\u00fcger den Text bereits angepasst.<\/p>\n

<\/p>\n

\"\"Die Warnung findet sich seit einigen Stunden bei n-tv<\/a> und bei heise.de<\/a>. Demnach werden zur Zeit Massen-E-Mails an deutschsprachige Empf\u00e4nger verschickt, die \u00fcber eine angebliche Bestellung bei MediaMarkt.de (oder anderen Firmen) 'informieren'. <\/p>\n

Absender: <\/em>kapsreiter@vipfile24.ru <\/em>
Betreff: Ihre Reservierung wird ausgeliefert 081547<\/p>\n

Sehr geehrter Client,
Danke f\u00fcr die Bestellung von \"the amazing spider-man (3d) [3d blue-ray<\/a>\"
Voraussichtliches Ankunftsdatum ist morgen, \u2026
Um Ihre Bestellung zu best\u00e4tigen (oder abzubrechen),  bitte benutzen
Sie Ihren  einzigartigen Kunden ID Schl\u00fcssel,
indem Sie den unten genannten
Klicken Sie hier<\/u><\/em><\/p>\n

Ein Screenshot einer Original-Mail findet sich bei heise.de<\/a>. Der obigen Textausriss sollte einem informierten Benutzer wegen der sprachlichen Schnitzer bereits komisch vorkommen. Auch der Absender der Mail kapsreiter@vipfile24.ru <\/em>sollte jedem Mitteleurop\u00e4er klar machen, dass es sich nicht um einen ausgelagerten Dienstleister von Media Markt handelt, sondern um einen Betr\u00fcger mit russischem Mail-Account. Und in der Tat handelt es sich um eine Phishing-Mail zur Verbreitung des Crypto-Trojaners Cerber. <\/p>\n

Update: Leicht angepasste Mails<\/h3>\n

Zwischenzeitlich habe ich eine leicht angepasste E-Mail von einem anderen (fingierten) Absender und mit einem angeblich anderen Produkt zugeschickt bekommen.<\/p>\n

<\/p>\n

Zeigt man auf den Link, erkennt man, dass dieser auf eine kompromittierte Webseite mit einer Umleitung auf eine zweite Seite (ein in Russland gehosteter Server onlineandroidhosting dot ru<\/em>, gehalten von einer privaten Person mit recht spartanischen Admin-C-Eintr\u00e4gen) verweist \u2013 also nichts mit Media Markt zu tun hat. <\/p>\n

Scheinbar gibt es diese Mail aber in unterschiedlichen Auspr\u00e4gungen, mit verschiedenen Produktangaben und von weiteren fingierten Unternehmen. Klickt der Empf\u00e4nger der Mail auf den angegebenen Link, startet der Download einer ZIP-Datei. Diese enth\u00e4lt ein obfuskiertes (verschleiertes) Script, welches die Ransomware Cerber nachl\u00e4dt. Dieser Krypto-Trojaner verschl\u00fcsselt die erreichbaren Dokumente auf der Festplatte des Systems und fordert anschlie\u00dfend L\u00f6segeld zur Entschl\u00fcsselung. \u00dcber Cerber habe ich im M\u00e4rz im Beitrag Cerber, neue, sprechende Ransomware<\/a> berichtet. Empfehlung ist, solche obskuren Mails direkt zu l\u00f6schen.  <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Cerber, neue, sprechende Ransomware<\/a>
Neue Exploit-Kits, neue Risiken, neue Malware-Kampagnen<\/a>
Neues von Ransomware CryptXXX<\/a>
Magnitude EK-Malware-Angriff per Fingerprint-Test<\/a>
PowerShell als Einfallstor f\u00fcr Malware\/Ransomware<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell noch eine Warnung vor einer Mail, die angeblich von MediaMarkt stammt und eine vorgebliche Bestellung best\u00e4tigt. Im Beipack findet sich der Crypto-Trojaner Cerber. Update: Zwischenzeitlich haben die Betr\u00fcger den Text bereits angepasst.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4715,4328,1107],"class_list":["post-178610","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-ransomware","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178610","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=178610"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178610\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=178610"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=178610"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=178610"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}