Zurück

Neue personifizierte Phishing-Mail mit Schadsoftware im Umlauf

06.05.2014 23:05 von Samuel

E-Mail

In dieser E-Mail wird dem Empfänger gedankt, dass er sich also neuer Abo-Kunde registriert hat. Im Anhang soll eine Rechnung sein mit den Details meiner Bestellung.

Das interessante an dieser Mail ist natürlich die personifizierten Angaben. Ich werde mit meinem Namen angesprochen und auch die *.zip-Datei im Anhang (die angebliche Rechnung), wurde personifiziert.

 

Sehr geehrter Vertragsnehmer Samuel Bittel,

wir sind sehr erfreut Sie als unseren neuen Kunden zu begrüßen.

Die Rechnung ist innerhalb von 7 Tagen zu begleichen. Im Anhang finden Sie nochmal die Kostenaufstellung mit unseren Kontodaten. Sollten Sie unser Angebot nicht annehmen, können Sie ohne Probleme innerhalb von einem Monat mit Hilfe des angehängten Formulars den Vertrag stornieren. 

Die monatliche Abo Gebühr beträgt 39,90 €. Die Laufzeit Ihres ABOs beträgt 6 Monate und könnte jeweils zum Monatsende storniert werden. Wir weisen Sie freundlich darauf hin, dass durch die Annahme der AGBs von Video-on-Demand Service AG ein gültiger Vertrag abgeschlossen wurde.

Sollten wir weder eine Zahlung, noch eine Kündigung innerhalb von 7 Tagen erhalten, werden wir die Gebühren des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen.

Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform. 

Mit freundlichen Grüßen. 

Payment Service GmbH Johann Wanner
Video-on-Demand Service AG

Woher kommt diese Nachricht?

Wenn man sich den E-Mail-Header anschaut, findet man folgende IP-Adresse vor: 80.67.31.37.

Header Analyse

 

Eine Whois-Abfrage ergibt folgendes Ergebnis:

Whois

 

Der Server steht in Deutschland und wurde sehr wahrscheinlich gekapert und für diese Spam-Mails missbraucht.

Analyse der Rechnung / Schadsoftware

Ich habe mir diesen Anhang kurz angeschaut. Schon beim Speichern der ZIP-Datei stimmt etwas nicht. Denn: Es ist gar keine gültige ZIP-Datei. Diese Datei startet mit dem MZ-Header und ist somit eine direkt ausführbare Datei.

Nach dem starten der Datei wird eine zweite bzw. eine Kopie der Datei in ein zufälliges Verzeichnis im auf "%appdata%" verschoben.

Installation der Malware

 

Nach dem verschieben der Datei wird der erstellte Ordner und die ausführbare Datei mit dem Dateiattribut "versteckt" versehen. Damit lässt sie sich nicht mehr ohne weiteres im Dateiexplorer ansehen.

Dateiattribut

 

Dateiattribut

 

Nach der Installation injiziert sich die Datei in einen "svchost.exe"-Prozess. Damit könnten Firewalls umgangen werden und auch das aufspüren der Schadsoftware wird somit erschwert.

Svchost.exe Inject

 

Zu guter Letzt schreibt sich die Rechnung (Unentschlossen).. Schadsoftware noch in den Autostart.

Autostart Eintrag

 

Was genau die Datei nun bewirkt, habe ich nicht näher angeschaut. Jedoch konnte man direkt eine Verbindung zur Seite "meitu.com" feststellen. Diese wurde auch schon bei Virustotal als schädlich eingestuft.

Schon weit verbreitet

Es scheint sich um eine aggresive Welle zu handeln. Auf der Facebookseite von Spam-Info.de werden praktisch im Minutentakt Meldung gepostet von ahnungslosen Empfängern.

Fazit / Hilfe

Neue Phishing-Welle. Eigentlich nichts neues. Das Interessante ist diesmal, dass die E-Mail in ordentlichem Deutsch verfasst wurde und auch die angebliche Rechnung wurde mit meinem Namen versehen. Jedoch nicht bis zu Ende gedacht und die ausführbare Datei wurde in eine ZIP umgewandelt - obwohl es keine ist. Die E-Mail sollte einfach gelöscht und die IP auf die Blacklist gesetzt werden.

Zurück

Einen Kommentar schreiben

Kommentar von Alain um 07.05.2014

Sehr schön Samuel!
Die Mühe macht sich bestimmt nicht jeder, weiter so!
Den Process Manager und die Virtuelle Maschine sind schon tolle Programme. :-)

Antwort von Samuel

Hallo Alain :-)

Danke für dein Lob!

Ohja, da gäbe es noch so viele schöne Tools die man vorstellen könnte :-)