![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Heute noch eine Warnung vor eine personalisierten Malware-Kampagne, die versucht, \u00fcber eine Zahlungsaufforderung einen Trojaner auf die Windows-Systeme der Opfer zu installieren. <\/p>\nHeute noch eine Warnung vor eine personalisierten Malware-Kampagne, die versucht, \u00fcber eine Zahlungsaufforderung einen Trojaner auf die Windows-Systeme der Opfer zu installieren. <\/p>\n
<\/p>\n
Ich habe gestern mal wieder den Spam-Ordner eines Postfachs, welches ich f\u00fcr Online-Aktivit\u00e4ten angebe, inspiziert. Dabei sind mir mehrere Phishing- und ein Trojaner-Angriff aufgefallen. Morgen gibt es einen Hinweis auf einen Phishing-Angriff \u2013 nachfolgend m\u00f6chte ich den personalisierten Malware-Angriff mit angeh\u00e4ngtem Trojaner dokumentieren.<\/p>\n
Die Mail, die ich im Spam-Ordner des E-Mail-Anbieters (auf der Suche nach einer elektronischen Rechnung) fand, hatte es in sich. In der Mail wurde eine unbezahlte Rechnung angemahnt. Die Anrede im Schreiben war korrekt \u2013 und es gab auch einen Bezug auf eine (fingierte) Zahlungsaufforderung mit einer Nummer. Angeblich sollte eine Rechnung bei der Directpay GmbH nicht bezahlt worden sein. <\/p>\n
Es wurde ein Inkasso zum Eintreiben des angeblich offenen Rechnungsbetrags angedroht. Was auffiel: Die im Abschnitt 'Gepeicherte Daten' aufgelistete Adresse und Telefonnummer war korrekt. Normalerweise kann man diese Daten \u00fcber das Impressum meiner Webseite oder \u00fcber die Admin-C-Daten meiner Domains herausbekommen. Dann passt aber die E-Mail-Adresse nicht. Da die Nachricht mit einer fingierten eBay-Adresse abgeschickt wurde, vermute ich, dass die Daten in diesem Umfeld geleaked wurden (speziell, da ich seit sehr langer Zeit vor ein paar Tagen einen Kauf get\u00e4tigt habe \u2013 so dass alles passt \u2013 aber sicher bin ich nicht). <\/p>\n Bei der obigen Mail st\u00f6rten aber einige Sachen gewaltig, so dass ich den Fall f\u00fcr interessierte Mitleser als Lehrst\u00fcck dokumentieren m\u00f6chte.<\/p>\n Gibt noch einige orthographische ('zu Ihrer Last') und inhaltliche (sich widersprechende Datumsangaben) Schnitzer. Der gravierendste Fehler war aber, dass die Forderung nicht im Text benannt, sondern angeblich angef\u00fcgt war. Die dort aufgef\u00fchrte ZIP-Datei 'roch' nur so nach Malware. F\u00fcr mich war sofort klar, dass es sich um einen Malware-Angriff handelt, der aber, wegen der Personalisierung, aufw\u00e4ndiger als \u00fcbliche Malware-Kampagnen war. <\/p>\n Der Umstand, dass die Mail bereits im Spam-Ordner des Mail-Anbieters landete, deutete darauf hin, dass dieser mehrere Mails diesen Inhalts erhalten oder \u00fcber andere Kriterien die Klassifizierung als Spam vorgenommen hat. Aber es gab keine Virus-Warnung.<\/p>\n Also habe ich versucht, die ZIP-Date G\u00fcnter Born.zip <\/em>auf ein Windows 7-System herunterzuladen. Der Plan war, einen kurzen Blick in das ZIP-Archiv zu werfen und dieses bei Virus Total hochzuladen. Aber so weit kam ich nicht \u2013 auf meinem Windows 7-System war Microsoft Security Essentials als Virenscanner installiert.<\/p>\n Sofort nach dem Download meldet sich MSE mit der obigen Meldung. Der Virenscanner hatte einen Sch\u00e4dling erkannt und gleich gel\u00f6scht. <\/p>\n<\/p>\n Im Chrome Browser wurde mir \u2013 allerdings mit einiger Verz\u00f6gerung \u2013 in der Statusleiste mitgeteilt, dass ein Virus gefunden wurde. Mein n\u00e4chster Schritt war, die Microsoft Security Essentials nach Details zu befragen. Im ersten Ansatz wurde mit nichts als gefunden angezeigt. Nach einem zweiten Versuch fand ich folgende Informationen in MSE.<\/p>\n<\/p>\n Es wurde der Trojaner Win32\/Skeeyah.A!rfn im ZIP-Archiv gefunden und erfolgreich eliminiert. Details zu diesem Sch\u00e4dling finden sich auf dieser Microsoft-Seite (gel\u00f6scht). Ziel des Trojaners ist es, pers\u00f6nliche Daten des Computernutzers auszuspionieren.<\/p>\n Was mich jetzt etwas ratlos zur\u00fcck l\u00e4sst: Die Urheber der Malware-Kampagne treiben einen h\u00f6heren Aufwand als sonst, um die Mail zu personalisieren. Dann bauen Sie aber einige Kardinalfehler ein, die diesen Aufwand wieder zunichte macht. Einen Trojaner zu versenden, der eigentlich durch diverse Virenscanner erkannt wird (der Trojaner ist seit Mitte 2016 aktiv, wie eine Websuche ergibt), ist imho wenig erfolgversprechend. Wie auch immer \u2013 vielleicht sch\u00e4rft der Beitrag mal wieder die Aufmerksamkeit des einen oder anderen Blog-Lesers im Hinblick auf Malware-Kampagnen. <\/p>\n \u00c4hnliche Artikel:<\/strong> Heute noch eine Warnung vor eine personalisierten Malware-Kampagne, die versucht, \u00fcber eine Zahlungsaufforderung einen Trojaner auf die Windows-Systeme der Opfer zu installieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[2794,1018,4328,1107],"class_list":["post-189071","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-ebay","tag-malware","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/189071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=189071"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/189071\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=189071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=189071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=189071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![](\"https:\/\/i.imgur.com\/pkekCl8.jpg\")
<\/a><\/p>\n\n
Kurze Analyse des Anhangs<\/h3>\n
<\/p>\n
Word-Malware zielt auf Mac OS und Windows<\/a>
StoneDrill Malware l\u00f6scht Festplatten und zielt auch auf Europa<\/a>
Windows-Malware im Google Play Store<\/a>
Malware kommt als Google Chrome-Erweiterung<\/a>
Malware 'Font wasn't found' zielt auf Google Chrome<\/a>
Malwareangriff auf \u00fcber 100 Banken, Firmen, Beh\u00f6rden<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"