Damian Thater

Phishing Alarm! Rechnung.exe

14.04.2014

Phishing Alarm! Rechnung.exe

Also noch plumper geht es wirklich nicht mehr, wenn der Phisher noch eine Rechnung mit dem Titel Rechnung.exe sendet.

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Was ist im Mailer zu sehen:

From: "Manuel Wagner" <manuelwagner@fastmail.fm>
To: "Manuel Wagner" <wie-kommt-manuel-zu-meinem-account@unverständnis.bla>
Betreff: Ihre Rechnung

Guten Tag,

Im Anhang dieser Email senden wir Ihnen Ihre aktuelle Rechnung.

Der offene Betrag ist innerhalb von 10 Tagen zu begleichen.

Bpay AG

+ Anhang: Rechnung.exe

Da kann man nur den Kopf schütteln…

Erster Eindruck

  • “Guten Tag”, selber
  • “Im Anhang dieser Email senden wir Ihnen Ihre aktuelle Rechnung.”… Aha. In einem Format, das ich nicht lesen kann aufm Mac. Hat wohl kein Verständnis für seine Kunden…
  • “Der offene Betrag”… mmmh… zu welcher Transaktion?
  • “ist innerhalb von 10 Tagen zu begleichen”… Oh ja, sonst?
  • “Bpay AG”… Bpay-was?

Wie wäre es mal mit einem Internetauftritt, Impressum, Umsatzsteuer-ID, Geschäftsführerangabe und Postanschrift für Beschwerden? Alles Mangelware…

Internet-Check

Google sacht dazu: Betrugsversuch

Hinter der Kulissen

Wie sieht es im Mail-Code aus?

Received: from fastmail.fm ([5.28.110.81])

Echt jetzt? Oh man… Who the f*** is fastmail.fm?

> whois fastmail.fm

Registrar Name: Gandi SAS
Address: 63-65 boulevard Massena
		 75013 Paris
Country: FR

Registrant:
Name: Robert Norris
Organisation: FastMail Pty. Ltd.
Address:
	Level 1, 91 William St
	Melbourne 3000
	AU

Vergleichen wir mal die Fakten mit Internet-Artikeln. Es wird bekannt gemacht, dass Fastmail.fm mit Gandi SAS eine Kooperation eingegangen ist und Fastmail.fm um den 10.4.2014 herum einem Hackerangriff erlegen ist. Wundert mich also nicht, dass der Server Emails in die Welt setzt, die plausiblen Ursprungs zu sein scheinen.

Dennoch, und gerade deswegen, ist Vorsicht geboten.

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.16) Gecko/20080708 Thunderbird/2.0.0.16
X-Accept-Language: en-us
Content-Type: text/plain;
		charset="us-ascii"

Cool. Die Email wurde von einem französischen Thunderbird Mailer gesendet und akzeptiert US-englische Sprache… komischer Mix.

Mal sehen, was das Leckerlie zu bieten hat: Rechnung.exe.

Ich kann nur warnen, eine ausführbare (exe) Datei unter Windows zu öffnen! Die Konsequenzen wären nicht zu unterschätzen.

Mit less /tmp/Rechnung.exe kann ich mir seelenruhig den Dateiinhalt anschauen. Da es sich um ein Binary, also um maschinenlesbaren Code, handelt kan man nur schwer “lesen” was drin steht. Dennoch sind ein paar Zeichen lesbar.

Offenbar werden Operationen mit einer Datei Namens C:\\MYApp.EXE bzw. c:\\\\\\MYapp.exe durchgeführt. Darunter befindet sich ein Text “Local AppWizard-Generated Applications”, was bei Google als Trojaner bzw. Backdoor geführt wird.

In dem Teil der Dateibeschreibung befindet sich der Originalname der Datei, der bei der Herstellung verwendet wurde:

OriginalFilename jds_snake.exe
FileDescription jds_snake
LegalCopyright 2014

Googlet man wiederum jds_snake.exe trifft man auf angeblichen Code des Spiels “Snake”.

Update vom 24.4.2014

Inzwischen kam die gleiche Email erneut bei mir auf, diesmal aber mit einem anderen Programmunterbau:

OriginalFilename PolySurface
FileDescription PolySurface.exe
LegalCopyright 2014
FileVersion 1, 0, 0, 18
ProductVersion 1, 0, 0, 1

Googlet man wiederum PolySurface.exe erhält man nur wenige Informationen, darunter aber den sehr interessanten Link, der eine verwante Rechnung.dat auf Herz und Nieren untersucht: pedump.me. Darin fällt auf, dass es sehr viele chinesische Texte für Menübeschriftungen gibt…

Auch VirusTotal meldet hochgradig ansteckende, Viren befallene Datei: www.virustotal.com

OK, was auch immer sich hinter der Datei verbirgt, ist ab hier uninteressant für mich. Eine Rechnung, die ein Spiel bereithält ist suspekt, die im Hintergrund aber dubiose andere Dateien handhabt ist mehr als verdächtig und gehört nur an eine Stelle im System…

Fazit

Löschen! Mail -> Mülleimer -> Mülleimer leeren

14.04.2014

comments powered by Disqus

Copyright © Damian Thater, 2009-2016  -  Impressum