{"id":315049,"date":"2025-08-31T00:12:50","date_gmt":"2025-08-30T22:12:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315049"},"modified":"2025-08-29T23:33:31","modified_gmt":"2025-08-29T21:33:31","slug":"accenture-gehackt-merkwuerdige-phishing-mail","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/31\/accenture-gehackt-merkwuerdige-phishing-mail\/","title":{"rendered":"Merkw\u00fcrdige Spam-Mail; Accenture gehackt?"},"content":{"rendered":"

\"Mail\"Ein Blog-Leser hat mich vor einigen Tage darauf hingewiesen, dass er eine merkw\u00fcrdige Spam-Mail bekam, die von einer Accenture-Domain verschickt wurde. Inzwischen ist die Domain nicht mehr erreichbar – was die Frage nach dem Hintergrund aufwirft.<\/p>\n

<\/p>\n

Beobachtung eines Blog-Lesers<\/h2>\n

\"\"Ich stelle mal eine komische Beobachtung eines Blog-Lesers hier im Blog ein, auf die er mich zum 19. August 2025 hinwies. Beim Durchgehen der SPAM-Mails stie\u00df Blog-Leser Sebastian L. auf eine Nachricht mit dem Betreff \"Ihr Speicher ist voll\". Der Betreff hat ihn stutzig werden lassen.\u00a0Der Betreff hat ihn stutzig werden lassen. Denn in der Mail gab es einen Link mit einer Weiterleitung zu einer Scam-Seite – die sich der Leser, nach eigener Aussage, erst gar nicht angeschaut hat.<\/p>\n

mydas-mod[.]openshift[.]accenture[.]com\/\/sy35x23iciwnmd6radzzits7v4mctbq4psuytdjtemyelrwx9y1hgai1ylj3xkqc9f0enf96sxwm99u7[.]7ZBOAYKTU0EO83URNYJ0TQMKHSJIRG7KYC3DFVLNZT?d0LZmyccgQK9ccWHwcCchmcycgfmcq4lLcbbbbP<\/pre>\n
Laut Leser wurde obiger Link mit http<\/em> statt https<\/em>-Protokoll in der Mail angegeben (die Mail liegt mir leider nicht vor). Obiger Link zeigt mir aber, dass da eine SubDomain von Accenture verwendet wurde. Accenture ist ja im Microsoft-Umfeld als Berater aktiv.<\/p>\n
Die obige Subdomain wird hier bei Tests nicht mehr aufgel\u00f6st. Weshalb die Frage im Raum steht, was da passiert sein k\u00f6nnte. Hinweise \u00fcber einen Hack bei Accenture habe ich aktuell keine gefunden.<\/p>\n
Obfuscation von JavaScript-Code<\/h2>\n
Der Leser schrieb, dass ihm JavaScript-Code, mit\u00a0Obfuscation verschleiert, vorgesetzt wurde. Er hat mir folgenden Code zukommen lassen:<\/p>\n
eval(\"\\x66\\x75\\x6e\\x63\\x74\\x69\\x6f\\x6e\\x20\\x73\\x61\\x76\\x65\\x5f\\x64\\x65\\x74\\x61\\x69\\x6c\\x73\\x28\\x29\\x20\\x7b\\x0a\\x20\\x20\\x20\\x20\\x6c\\x65\\x74\\x20\\x72\\x65\\x73\\x75\\x6c\\x74\\x20\\x3d\\x20\\x7b\\x22\\x73\\x72\\x63\\x22\\x3a\\x22\\x61\\x48\\x52\\x30\\x63\\x44\\x6f\\x76\\x4c\\x7a\\x45\\x30\\x4f\\x53\\x34\\x78\\x4d\\x79\\x34\\x34\\x4e\\x79\\x34\\x31\\x4d\\x43\\x39\\x68\\x63\\x47\\x6c\\x66\\x59\\x57\\x4e\\x30\\x61\\x57\\x39\\x75\\x4c\\x33\\x4e\\x68\\x64\\x6d\\x56\\x66\\x59\\x32\\x78\\x70\\x59\\x32\\x73\\x5c\\x2f\\x61\\x57\\x52\\x6a\\x50\\x54\\x55\\x7a\\x4f\\x54\\x4d\\x33\\x4d\\x44\\x41\\x33\\x4d\\x53\\x5a\\x70\\x5a\\x47\\x38\\x39\\x4d\\x6a\\x63\\x79\\x4d\\x6a\\x67\\x35\\x4a\\x6d\\x31\\x70\\x5a\\x44\\x30\\x32\\x4f\\x44\\x41\\x33\\x4d\\x54\\x41\\x6d\\x61\\x58\\x42\\x66\\x64\\x58\\x4e\\x6c\\x63\\x6a\\x31\\x78\\x4d\\x47\\x6c\\x72\\x4f\\x57\\x4d\\x6d\\x61\\x58\\x42\\x66\\x63\\x33\\x4a\\x32\\x50\\x54\\x55\\x33\\x4d\\x54\\x41\\x78\\x4d\\x79\\x5a\\x73\\x61\\x58\\x4e\\x30\\x61\\x57\\x51\\x39\\x4d\\x54\\x6b\\x6d\\x61\\x58\\x4e\\x77\\x50\\x54\\x4d\\x79\\x4a\\x6d\\x39\\x33\\x62\\x6d\\x56\\x79\\x50\\x54\\x49\\x32\\x4f\\x53\\x5a\\x6c\\x62\\x57\\x77\\x39\\x4a\\x6d\\x78\\x70\\x63\\x33\\x51\\x39\\x4d\\x54\\x59\\x78\\x4e\\x44\\x63\\x30\\x4d\\x79\\x5a\\x6a\\x64\\x58\\x4a\\x79\\x58\\x32\\x52\\x76\\x62\\x54\\x31\\x74\\x65\\x57\\x52\\x68\\x63\\x79\\x31\\x74\\x62\\x32\\x51\\x75\\x62\\x33\\x42\\x6c\\x62\\x6e\\x4e\\x6f\\x61\\x57\\x5a\\x30\\x4c\\x6d\\x46\\x6a\\x59\\x32\\x56\\x75\\x64\\x48\\x56\\x79\\x5a\\x53\\x35\\x6a\\x62\\x32\\x30\\x6d\\x64\\x32\\x56\\x69\\x59\\x6e\\x4a\\x66\\x59\\x32\\x4d\\x39\\x5a\\x47\\x55\\x3d\\x22\\x7d\\x3b\\x0a\\x20\\x20\\x20\\x20\\x2f\\x2f\\x20\\x48\\x6f\\x69\\x73\\x74\\x65\\x64\\x20\\x63\\x6c\\x6f\\x73\\x75\\x72\\x65\\x20\\x72\\x65\\x73\\x6f\\x6c\\x76\\x65\\x73\\x20\\x64\\x79\\x6e\\x61\\x6d\\x69\\x63\\x61\\x6c\\x6c\\x79\\x2e\\x0a\\x20\\x20\\x20\\x20\\x6c\\x65\\x74\\x20\\x74\\x69\\x6d\\x65\\x5a\\x6f\\x6e\\x65\\x20\\x3d\\x20\\x22\\x55\\x54\\x43\\x22\\x3b\\x0a\\x20\\x20\\x20\\x20\\x74\\x72\\x79\\x20\\x7b\\x0a\\x20\\x20\\x20\\x20\\x20\\x20\\x20\\x20\\x74\\x69\\x6d\\x65\\x5a\\x6f\\x6e\\x65\\x20\\x3d\\x20\\x49\\x6e\\x74\\x6c\\x3f\\x2e\\x44\\x61\\x74\\x65\\x54\\x69\\x6d\\x65\\x46\\x6f\\x72\\x6d\\x61\\x74\\x3f\\x2e\\x28\\x29\\x2e\\x72\\x65\\x73\\x6f\\x6c\\x76\\x65\\x64\\x4f\\x70\\x74\\x69\\x6f\\x6e\\x73\\x28\\x29\\x3f\\x2e\\x74\\x69\\x6d\\x65\\x5a\\x6f\\x6e\\x65\\x20\\x7c\\x7c\\x20\\x22\\x55\\x54\\x43\\x22\\x3b\\x0a\\x20\\x20\\x20\\x20\\x7d\\x20\\x63\\x61\\x74\\x63\\x68\\x20\\x28\\x65\\x29\\x20\\x7b\\x7d\\x0a\\x20\\x20\\x20\\x20\\x2f\\x2f\\x20\\x4d\\x6f\\x64\\x75\\x6c\\x61\\x72\\x20\\x61\\x72\\x72\\x61\\x79\\x20\\x72\\x65\\x74\\x75\\x72\\x6e\\x73\\x20\\x71\\x75\\x69\\x63\\x6b\\x6c\\x79\\x2e\\x0a\\x20\\x20\\x20\\x20\\x72\\x65\\x73\\x75\\x6c\\x74\\x5b\\x22\\x73\\x63\\x72\\x65\\x65\\x6e\\x77\\x22\\x5d\\x20\\x3d\\x20\\x77\\x69\\x6e\\x64\\x6f\\x77\\x3f\\x2e\\x73\\x63\\x72\\x65\\x65\\x6e\\x3f\\x2e\\x77\\x69\\x64\\x74\\x68\\x20\\x7c\\x7c\\x20\\x30\\x3b\\x0a\\x20\\x20\\x20\\x20\\x72\\x65\\x73\\x75\\x6c\\x74\\x5b\\x22\\x73\\x63\\x72\\x65\\x65\\x6e\\x68\\x22\\x5d\\x20\\x3d\\x20\\x77\\x69\\x6e\\x64\\x6f\\x77\\x3f\\x2e\\x73\\x63\\x72\\x65\\x65\\x6e\\x3f\\x2e\\x68\\x65\\x69\\x67\\x68\\x74\\x20\\x7c\\x7c\\x20\\x30\\x3b\\x0a\\x20\\x20\\x20\\x20\\x72\\x65\\x73\\x75\\x6c\\x74\\x5b\\x22\\x74\\x69\\x6d\\x65\\x7a\\x6f\\x6e\\x65\\x22\\x5d\\x20\\x3d\\x20\\x74\\x69\\x6d\\x65\\x5a\\x6f\\x6e\\x65\\x3b\\x0a\\x20\\x20\\x20\\x20\\x2f\\x2f\\x20\\x44\\x65\\x63\\x6c\\x61\\x72\\x61\\x74\\x69\\x76\\x65\\x20\\x70\\x72\\x6f\\x74\\x6f\\x74\\x79\\x70\\x65\\x20\\x72\\x65\\x74\\x75\\x72\\x6e\\x73\\x20\\x72\\x6f\\x62\\x75\\x73\\x74\\x6c\\x79\\x2e\\x0a\\x20\\x20\\x20\\x20\\x6e\\x61\\x76\\x69\\x67\\x61\\x74\\x6f\\x72\\x2e\\x73\\x65\\x6e\\x64\\x42\\x65\\x61\\x63\\x6f\\x6e\\x28\\x22\\x2f\\x73\\x65\\x6e\\x64\\x42\\x65\\x61\\x63\\x6f\\x6e\\x2e\\x70\\x68\\x70\\x22\\x2c\\x20\\x4a\\x53\\x4f\\x4e\\x2e\\x73\\x74\\x72\\x69\\x6e\\x67\\x69\\x66\\x79\\x28\\x72\\x65\\x73\\x75\\x6c\\x74\\x29\\x20\\x29\\x3b\\x0a\\x20\\x20\\x20\\x20\\x72\\x65\\x74\\x75\\x72\\x6e\\x20\\x74\\x72\\x75\\x65\\x3b\\x0a\\x7d\\x0a\\x2f\\x2f\\x20\\x44\\x79\\x6e\\x61\\x6d\\x69\\x63\\x20\\x72\\x75\\x6e\\x74\\x69\\x6d\\x65\\x20\\x69\\x6e\\x68\\x65\\x72\\x69\\x74\\x73\\x20\\x65\\x6c\\x65\\x67\\x61\\x6e\\x74\\x6c\\x79\\x2e\\x0a\\x73\\x61\\x76\\x65\\x5f\\x64\\x65\\x74\\x61\\x69\\x6c\\x73\\x28\\x29\\x3b\\x20\\x20\\x20\\x20\\x20\\x20\\x20\\x20\");\r\n<\/script>\r\n<script>\r\n    var url = \"https[:]\\\/\\\/www.ludanto[.]com\\\/25F75QGB\\\/7H48XGF1\\\/?sub1=32_1614743_272289&sub2=269_680710_571013_19&sub3=539370071_q0ik9c\";\r\n    window.location.replace(url);<\/pre>\n
Dazu schrieb der Leser: \"Ich habe den Link auf Domain-Spoofing gepr\u00fcft, aber das ist echt. Meine Nachforschungen ergaben an das Accenture zuletzt im Juni 2024 einen Hack eingestanden hat.\"<\/p>\n
Ich habe mal geschaut – im Blog hatte ich letztmalig 2021 den Beitrag\u00a0Accenture Opfer der Lockbit Ransomware<\/a>, was es aber nicht sein kann. Im Sommer 2025 gab es z.B. diesen Beitrag<\/a>, demzufolge ein Hacker versuchte, 33.000 Datens\u00e4tze, angeblich von Accenture-Mitarbeitern, im Darknet zu verkaufen. Accenture dementierte aber, dass die Daten aus dem Unternehmen stammten.<\/p><\/blockquote>\n
Fake-Seite brewandbake[.]store<\/h2>\n
Ich habe gestern mal ein wenig mit dem generierten Link probiert. Die obige URL wird zwar durch Virustotal als \"sauber\" klassifiziert, leitet aber zu obskuren Webseiten um. Ludanto ist gem\u00e4\u00df nachfolgendem Screenshot eine Seite zum Performance-Tracking von Smart-Links, die dann auf ein Ziel weitergeleitet werden.<\/p>\n
\"ludanto.com\"<\/p>\n
Der Link wird dann auf eine obskure Seite\u00a0brewandbake[.]store\u00a0<\/em>weiter geleitet, die erst zum Jahresanfang als Domain registriert wurde. Auf Virustotal wird die Seite von vier Scannern als \"malicious\" gemeldet.<\/p>\n
\"Zielseite<\/p>\n
Auf checkphish.ai<\/em> wurde keine wirkliche Bedrohung gemeldet (man kann aber nur einen Link pro Tag ohne Registrierung testen). Auch hybrid-analysis.com<\/em> meldete, dass die Zielseite wahrscheinlich \"malicious\" aber im Hinblick auf Viren \"clean\" sei.<\/p>\n
\"hybrid-analyses.com<\/p>\n
Die Zielseite sieht wie in nachfolgendem Bild gezeigt aus, wo der Cloud-Speicher als voll gemeldet wird.<\/p>\n
\"Fake-Seite<\/p>\n
Im Quellcode der Seite sieht man, dass da per JavaScript irgendwelche URLs zusammen gestrickt werden, die zu verschiedenen Zielseiten umleiten. Ich habe mal eine Abuse-Meldung bez\u00fcglich der Domain an den Registrar geschickt – bezweifele aber, dass was dabei herum kommt.<\/p>\n
Die offene Frage ist nun: Ist jemandem aus der Leserschaft eine \u00e4hnliche Mail zugegangen und kann jemand etwas mit der obigen Accenture-Domain anfangen?<\/p>\n","protected":false},"excerpt":{"rendered":"
Ein Blog-Leser hat mich vor einigen Tage darauf hingewiesen, dass er eine merkw\u00fcrdige Spam-Mail bekam, die von einer Accenture-Domain verschickt wurde. Inzwischen ist die Domain nicht mehr erreichbar – was die Frage nach dem Hintergrund aufwirft.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[2564,4328],"class_list":["post-315049","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315049"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315049\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}