Damian Thater

Phishing Alarm! Video Mediathek AG

02.05.2014

Phishing Alarm! Video Mediathek AG

Die Masche ist mir gekannt: Im Anhang ist eine Rechnung, die bezahlt werden soll, andernfalls droht ein Mahnverfahren… Doch was ist diesmal drin im Paket?

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Was ist im Mailer zu sehen:

From: "Mediathek AG Video" <tamas.laszlo@lande.hu>
To: "Damian Thater" <eine-sehr-alte-adresse@das-internet-vergisst.nix>
Betreff: Abo-Abrechnung für Damian Thater vom 02.05.2014

Sehr geehrter Nutzer Damian Thater,

wir begrüßen Sie als neuen Kunden und bedanken uns bei Ihnen 
für Ihr Vertrauen. Wir freuen uns sehr, dass Sie sich 
für „Video Mediathek AG“ entschieden haben.

Die monatliche Abogebühr beträgt 49,90 €. Die Laufzeit Ihres ABOs 
beträgt 6 Monate und kann jeweils zum Monatsende gekündigt werden. 
Wir weisen Sie freundlich darauf hin, dass durch die Annahme der AGBs 
von Video Mediathek AG ein rechtskräftiger Vertrag abgeschlossen wurde.

Anbei finden Sie nochmal die Bestätigung mit unseren Daten. 
Die Rechnung ist innerhalb von 7 Tagen zu begleichen. Falls Ihnen 
unsere Dienste nicht gefallen, können Sie bequem innerhalb von 2 
Wochen mit Hilfe des im Anhang befindlichen Antrages den Vertrag 
kündigen. Sollten wir weder eine Zahlung, noch eine Kündigung 
innerhalb von 7 Tagen erhalten, werden wir die Gebühren des 
Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen. 

Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform. 

Mit freundlichen Grüßen. 

PayNow Office GmbH Colin Weydehart
Video Mediathek AG

+ Anhang: Mediathek AG Video Damian Thater 02.05.2014.zip

Erster Eindruck

  • “Sehr geehrter Nutzer Damian Thater”,… geehrter Nutzer? Hm…
  • “Wir freuen uns sehr, dass Sie sich für „Video Mediathek AG“ entschieden haben.”… Was hab ich denn da gekauft?
  • ”…und kann jeweils zum Monatsende gekündigt werden. ”… Widerrufsrecht ist einwenig spärlich formuliert nach Fernabsatzgesetz für einen Onlinedienst…
  • “Wir weisen Sie freundlich darauf hin”… Zuckerbrot und…
  • “dass durch die Annahme der AGBs … ein rechtskräftiger Vertrag abgeschlossen wurde.”… und Peitsche!
  • “Bestätigung mit unseren Daten.”… wieso euren Daten? Ich will meine Daten verifizieren!
  • “unsere Dienste…” Herrgott, welche denn? Habt ihr denn keine Links wo man das Angebot nachvollziehen kann?
  • “können Sie bequem innerhalb von 2 Wochen”… HAR HAR HAR… Ich soll innerhalb von 7 Tagen zahlen, hab aber ein Kündigungsrecht von 14 Tagen… Spinner!
  • “im Anhang befindlichen Antrages”… dafür brauch ich keinen Antrag…
  • “Sollten Sie weder… noch eine Kündigung innerhalb von 7 Tagen erhalten”… danke, habs’s kapiert: ich habe NICHT wirklich 14 Tage Widerrufsrecht…
  • “werden wir die Gebühren des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen.”… Jungs, ihr macht euch schon im ersten Auftritt echt unbeliebt beim mir…
  • “PayNow Office GmbH”… Hast den Schuss nicht gehört “pay no”! Und überhaupt, in welcher Form ist denn der Auftritt formuliert: GmbH oder AG?
  • “Mediathek AG Video Damian Thater 02.05.2014.zip”… meine Mamma hat immer gesagt, “Junge, wenn du unbekannte, virenverseuchte Dateien im Mailer aufmachst, musst du zur Strafe den Binary-Inhalt händisch auf abschreiben… auf Post-its!” Das hat gesessen!

Wiedermal fehlt hier klassisch der Internetauftritt, Impressum, Umsatzsteuer-ID, Geschäftsführerangabe und Postanschrift für Beschwerden, wenigstens Hilfe oder Support-Links… Kannste suchen bis zum Sanktnimmerleinstag…

Internet-Check

Auch bereits am Erscheinnungstag gibt es mit dem ersten Satz wir begrüßen Sie als neuen Kunden und bedanken uns bei Ihnen für Ihr Vertrauen. einige Hinweise auf einen Betrug.

Google meint dazu: Trojaner, Betrugsversuch

Unter der Haube

Wohin geht die Email denn zurück, wenn ich sie nicht annehme?

Return-Path: tamas.laszlo@lande.hu
Received: from pityuka.hisztis.hu ([193.142.209.22])

Ungarn? Ey, aber echt gute Deutschkenntnisse in so einer langen Email… Respekt. OK, zugegeben, das ist nicht ganz fair, schließlich kann der Server kompromittiert sein, also Schluss mit Sarkasmus.

> whois lande.hu

record created: 2002.12.12 01:00:05

> whois 

record created: 2008.08.18 23:16:18

Krass, beide Einträge sind Urgesteine des Internets, aber wenig aussagekräftig, denn mehr brauchbare Infos gibt es kaum.

Mal sehen, im Paket drin ist.

Obacht beim Öffnen von ZIP Anhängen per Doppelklick, hier kann sich Schadsoftware getarnt als gepacktes Archiv verstecken. Unter Windows ist dies leider allzu einfach. Wenn die Datei schon geöffnet werden muss, dann bitte mit einem Drittanbieter-Tool, oder noch besser unter einem anderen Betriebsystem, wie Linux.... am Besten aber die Finger weglassen und die Datei löschen!

Mit less /tmp/Mediathek\ AG\ Video\ Damian\ Thater\ 02.05.2014.zip analysieren wir mal die Datei…, auch wenn es durch den Maschinen-Code nur schwer lesbar ist.

Nach und nach tauchen einige alte Bekannte auf. Dateioperationen auf C:\\MYApp.EXE durchgeführt. Darunter befindet sich ein Text “Local AppWizard-Generated Applications”, was bei Google als Trojaner bzw. Backdoor geführt wird. Irgendwie ist das eine Seuche…

Ein sehr wichtiger und deshalb verdächtiger Pfad taucht auf:

C:ProgramFiles\Explorer\explorer.exer.Exe

bzw.

C:\ProgramFiles\Explorer\explorer.exe

OH, oh… wenn Rechnungsdokumente systemverwandte Pfade benennen, kann das doch nur bedeuten, dass etwas faul ist…

Anbei ist der Text Matrix.Document und einige Chinesische Zeichen erkennbar.

Bei der Dateibeschreibung (VS_VERSION_INFO) befindet sich der Originalname der Datei, der bei der Herstellung verwendet wurde:

OriginalFilename Matrix.exe
ProductName Matrix
FileDescription Matrix
LegalCopyright 2014

Online-Analyse

Was sagt denn virustotal.com zu dem Thema?

15 von 52 Virenscannern können einen Schädling ausfindig machen… WOW…!

Fazit

Was haben Diese Begriffe “MyApp, Local AppWizard-Generated Applications, explorer.exe, Matrix” mit einigen chinesischen Zeichen gemeinsam? Na?

Löschen! Mail -> Mülleimer -> Mülleimer leeren

02.05.2014

comments powered by Disqus

Copyright © Damian Thater, 2009-2016  -  Impressum