sonderbare Email erhalten - ein Teil war Insiderwissen - Darlehensvertrag_8473796_150

[xsid]

Hallo Sicherheitsexperten,

heute was bei mir im Spamordner eine Email.
Der Betreff war vor mehreren Wochen von mir erstellt und jemanden zugestellt worden.
Meine Signatur war auch vorhanden.

In der Email war ein Link, wie folgt:

httpxxxxxxxxxxx://thevine-organizasyon.com/wp-content/uploads/jsc/Darlehensvertrag_8473796_15052020.zip

Dazu sollte ich Stellung nehmen, mit einem Darlehen hatte ich nichts zu tun.

Whois sagt über thevine-organizasyon.com:

WHOIS ÜBERBLICK
Common info
Domain Name

THEVINE-ORGANIZASYON.COM
Registry Domain ID

2493537521_DOMAIN_COM-VRSN
Updated Date

2020-02-17T10:55:47Z
Creation Date

2020-02-17T10:55:47Z
Registry Expiry Date

2021-02-17T10:55:47Z
Registrar

Nics Telekomunikasyon A.S.
Domain Status

ok
Name-servers

NS1.LOUNGETHEMES.COM

NS2.LOUNGETHEMES.COM
DNSSEC

unsigned
Registrar
WHOIS Server

whois.nicproxy.com
URL

http://https://nicproxy.com/
IANA ID

1454
Abuse Contact Email

Abuse Contact Phone

+90 212 213 2963

Der folgend online Virusscanner sagte, die Datei Darlehensvertrag_8473796_15052020.zip ist ok.

https://www.virustotal.com/gui/home

Als Absender wurde nur Beispielhaft hermann.trex angezeigt, keine Emailadresse also.

Wer ist da gehackt worden?
Wie untersucht man weiter?

MfG

xsid

 

[cuco]

Das ist eine Spammail, löschen und fertig.
Jeder weitere Beschäftigung mit der Email ist Zeitverschwendung. Die Spammer schaffen es zwar nicht, dir Geld oder Zugangsdaten zu stehlen, aber anscheinend bist du mehr als willig, ihnen deine Zeit zu schenken.

So ist es!

Wenn du (also @xsid) allerdings weiter versuchst, den Virus in der zip-Datei zu öffnen, bin ich mir nicht mehr sicher, ob es dem Spammer wirklich nicht gelingt, mehr von dir zu bekommen...

Was ist mit der Datei Darlehensvertrag_8473796_15052020.zip nun los?

Kein Virus, nix passiert auf dem PC (Linux), liegt es an Linux?

Vermutlich. Aufgrund der größeren Verbreitung von Windows werden Viren in der Regel eher für Windows geschrieben und funktionieren unter Linux nicht. Das heißt aber nicht, dass es nicht auch Linux-Viren gibt. Wir hatten hier auch schon verseuchte Linux-Kisten...

Wie kann ich Darlehensvertrag_8473796_15052020.zip weiter untersuchen? Mal auf einem Windows 10 ausprobieren?

Nein! Finger weg von dieser Datei!! Schlimm genug, dass du es unter Linux probierst, aber die Gefahr, dir unter Windows was einzufangen, ist noch größer. Genau das ist das Ziel deines Angreifers/Spammers - dass du diese Datei öffnest. Vermutlich tut sich auch da "nichts". Der User soll schließlich keinen Verdacht schöpfen, also kommen meist nur Fehlermeldungen oder einfach gar nichts. Im Hintergrund ist der Rechner dann längst infiziert - mit was auch immer.

Weil ich neugierig bin.
Gerne beschäftige ich mich in diesem Fall mit Spam.

Genau das ist das Ziel des Angreifers und du machst mit. Das ist ungefähr so, als wenn jemand den "Enkeltrick" probiert und das Opfer weiß, gar keine Enkel zu haben - und gibt das Geld trotzdem raus

 

[xsid]

Alles kein Problem auf einem Testsystem.

 

[mectst]

Alles kein Problem auf einem Testsystem.

Welches hoffentlich gut genug gegen die Außenwelt abgeschottet ist.

Grüße Thomas

 

[netghost78]

Ich wüßte im Moment nicht, was dagegen spricht, in eine ZIP-Datei reinzusehen. Daß man die darin enthaltenen Dateien natürlich nicht ausführt, ist auch klar.
Heute habe ich von einer Kollegin eine Mail weitergeleitet bekommen, daß angeblich ein DHL-Paket nicht zugestellt werden konnte (is klaa). Daran war eine ISO-Datei mit einer darin enthaltenen EXE-Datei. Das war mir nun aber auch neu.

 

[ggrohmann]

Das dürfte keine Zip-Datei sein. Einfach mal "file Darlehensvertrag_8473796_15052020.zip" in einer shell (im Verzeichnis, wo die Datei liegt) eingeben und dann kriegst du vielleicht einen Hinweis, was das in Wirklichkeit für eine Datei ist. Ist bestimmt irgendein Binary. Ansonsten kannst du das Ding ja auch noch an einen Online-Virenscanner verfüttern.

 

[xsid]

wget httpxxxxxxxxxxx://thevine-organizasyon.com/wp-content/uploads/jsc/Darlehensvertrag_8473796_15052020.zip

Das ist nichts drin.

Ein Onlinevirenscanner hatte nichts gefunden.

@netghost78
Hast Du mit dem iso gespielt?
Was gab es da dann?

 

[Aiphaton]

Du hast auf den Link geklickt? Ich hoffe sehr, dass du dein System wirklich vernünftig abgesichert hast. Da kann ein geschickter Häcker sonstwas mit machen. Und wenn es nur ein Versuch war zu prüfen, ob du auf solche Mails reagierst - dann kommst am Ende in einen extra Pott an besonders attraktiven Emails .

 

[xsid]

Ganz so so doof bin ich ja nicht, auch wenn ich neu im Internet bin.
Und ich verwende sogar manchmal noch "Windows XP".

Ein Paket möchte ich auch abholen.

Hier gibt es Infos: Darlehensvertrag_8473796_15052020.zip

Suchmaschine

https://any.run/report/2d0743858e7a...75acfd20/e8e7a7d4-55df-4d99-9b9a-67d140360838

 

[netghost78]

@netghost78
Hast Du mit dem iso gespielt?
Was gab es da dann?

Außer reingeschaut hab ich mit dem ISO nix gemacht. Außer eine EXE ist da nichts weiter drin.
Hab die Mail aber noch hier, also wenn Bedarf besteht, kann ich da gern noch mehr analysieren.
Wir haben unserem Mailserver erstmal ISO verboten, sowas verschickt ja kein normaler Mensch.

 

[xsid]

Hallo netghost78,

wie groß ist das Iso?
Tricky ist das ja, ein Iso, dann greift evtl. die Automountfunktion von Windows, einmal nicht aufgepasst, neugierig und schon was installiert.

MfG

xsid

 

[netghost78]

Das ISO ist 912 kB.

 

[fakiauso]

Außer reingeschaut hab ich mit dem ISO nix gemacht. Außer eine EXE ist da nichts weiter drin.

Also ich sehe da immerhin noch ein *.vbs hinter dem Darlehensvertrag aus dem Link zu any.run.

Mit Skripten präparierte Dokumente unter Windows - mehr muss man nicht sagen. Das ist so offensichtlich ein Trojaner wie die Mail Spam ist. Noch erstaunlicher ist eigentlich nur, dass die Datei nicht an der Mail angehängt war, sondern als Wordpress-Content heruntergeladen werden musste. Das kann aber auch dazu dienen, dass die Mail durchkommt durch den Scan des Providers, weil nur der Link und nicht die Datei enthalten ist.

Solche Dinge wie so einen "Vertrag" wird ein seriöser Anbieter nie als Zip-Datei von einem wildfremden WP-Content zum Download anbieten. siehe auch hier als Beispiel.

 

[Mornsgrans]

Noch erstaunlicher ist eigentlich nur, dass die Datei nicht an der Mail angehängt war, sondern als Wordpress-Content heruntergeladen werden musste. Das kann aber auch dazu dienen, dass die Mail durchkommt durch den Scan des Providers, weil nur der Link und nicht die Datei enthalten ist.

Die Datei könnte als Schadprogramm identifiziert werden. .vbs wird z.B. von Outlook unterdrückt und somit blockiert.

Der Zweck ist klar:
Inhalt wird nachgeladen und danach beginnt die Schadsoftware irgendwann mit seiner Aktivität. So arbeitet auch Ransomware.

 

[Herr Moehre]

Nein, die ISO schlägt durch zum Client über Outlook.
Das Szenario hatte ich bei einem meiner Kunden bereits gehabt, im ENdeffekt wurde der Filter dahingehend angepasst, seitdem landen auch ISOs in die Sandbox.. war bei unseren Kunden scheinbar die erste Attacke bei ISO-Dateien.

 

[Mornsgrans]

Klar, schickt man die EXE, wird sie zu 98% geblockt, da ausführbar. Darum die "Hülle" in Form einer ISO, die per Doppelklick geöffnet und eingebunden werden kann/wird.
Fehlt noch eine Autostartfunktion für die darin enthaltene .EXE, die die eigentlichen Schadprogramm nachlädt.

 

[Herr Moehre]

Vor Allem ist der MIME-Type für 'ne ISO anders als für eine Executable, von daher.. einfach mal pauschal blocken oder zumindestens per Sandbox ausführen und dann als Mist erkennen.
Wer heutzutage nur signturbasierte live-Virenscanner benutzt, schnallt sich beim Auto fahren mit kaputten reifen auch nicht an, bei Maximalgeschwindigkeit des Autos... und da der Deutsche 0815 Golf über 200 Schafft.... naja ich huste mal auffällig, vielleicht hat dann jemand offensichtlich bald Corona und verleugnet dies.
Das ist leider mal so.