Damian Thater

Phishing Alarm! Telekom, RechnungOnline Monat Mai 2014

03.06.2014

Phishing Alarm! Telekom, RechnungOnline Monat Mai 2014

Rechnungs-eMail von der Telekom? Sehr verdächtig, vor allem, wenn man bei der Telekom gar kein Kunde ist…

Einige der hier genannten Seiten wurden von mir als Betrugsversuch identifiziert. Um das Risiko zu mindern, dass die Links versehentlich ausgeführt werden und die Phisher trotz Warnung Erfolg haben, wurden die Links absichtlich verfälscht. Dennoch gilt: Jegliche Nutzung ausschließlich auf eigene Gefahr!

Das ist die Mail:

To: empfaenger-hat-eine-phish-allergie@gmx.de
From: Telekom Deutschland GmbH {NoReply} <m.cinar@cinergroup.com.tr>
Subject: RechnungOnline Monat Mai 2014 (Buchungskonto: 1666370235)

Ihre Rechnung für Mai 2014

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. 
Die Gesamtsumme im Monat Mai 2014 beträgt: 345,99 Euro. 

Wir bitten Sie, die Rechnung zu begleichen. 
Details zur Ihre Rechnung können Sie hier ansehen:


2014_06rechnung_3547346941_sign.zip. 

<link>httq://removebadplants.com/pdf_mail/online_kundencentertelekom</link>

Diese E-Mail wurde automatisch erzeugt. 
Bitte antworten Sie nicht dieser Absenderadresse. 
Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular. 

Telekom Deutschland
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 22361393531
WEEE-Reg.-Nr.: 11653575432

Erster Eindruck

Die Email sieht sehr gepflegt aus und ist im guten deutsch geschrieben. Fast alle Links zeigen auf Inhalte der Telekom, man kommt also leicht zu dem Glauben, die Zahlungsaufforderung sei ernst gemeint.

Dennoch haben sich einige Rechtschreibfehler eingeschlichen:

  • “Wir bitten Sie, die Rechnung zu begleichen.” soweit ich weiss gehört dort kein Komma hin.
  • “Details zur Ihre Rechnung…” zu Ihre_r_ Rechnung…
  • “USt-Id.Nr.: DE 22361393531” Was soll das denn sein? Die USt-Id. der Telekom ist laut telekom.de DE 122265872.

Internet-Check

Sucht man im Internet nach prägnanten Schnipseln, wie “Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.”, erfährt man, dass viele andere eine solche Spam-Mail auch erhalten haben.

Email-Details

Wie erkenn man hier eine Spam Mail? Schauen wir uns mal den Email-Kopf an:

Return-Path: Telekom@mail.cinergroup.com.tr

Sollte die Empfänger-Adresse mal ungültig sein, soll hier eine Status-Email an mail.cinergroup.com.tr gesendet werden. Das ist eine Adresse eines Servers in der Türkei!

Wo kommen die Mails überhaupt her?

Received: from mx1.solfix.net ([92.45.8.74]) by mx-ha.gmx.net (mxgmx111) ...
Received: from mail.cinergroup.com.tr (mail.parksigorta.com [213.74.21.81])
	by mx1.solfix.net (Postfix) ...
Received: from xn--kruterwirt-pc-j1a (unknown [80.121.220.194])
	by mail.cinergroup.com.tr (Postfix) ...

Aha, xn–kruterwirt-pc-j1a? Ein Spassvogel also… Nachverfolgung der IP ist zwecklos, denn im Zeitalter knapper IP4-Adressen könnte inzwischen jeder diese Adresse zweimal erhalten haben… Entsprechend verläuft auch ein traceroute im Sande.

From: Telekom Deutschland GmbH {NoReply} <m.cinar@cinergroup.com.tr>

Natürlich. Wer hier antwortet, macht dem Absender klar, dass man eine funktionierende Email-Adresse besitzt… lieber nicht antworten.

X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high

Wie üblich, werden alle hoch priorisierten Emails grundsätzlich als Spam betrachtet. Es gibt nichts Wichtiges an Emails, das den Status verdient hätte. Nie. Genau genommen ist diese Funktion nur sinnvoll für Firmen und Netzwerke, in denen man sich auf eine Eskalation oder Dringlichkeit committed hat. Das trifft auf das persönliche Leben selten zu.

Warum werden eigentlich nie Emails mit “geringer Priorität” gesendet?

OK, was hat es sich mit dem Body der Email auf sich?

Die Email ist HTML-formatiert. Bilder und Kontakt-Links zeigen auf Originaladressen der Telekom…

httqs://www.rechnung-online.telekom.de/mail//2014/04/21/images/pixel.gif
httq://www.telekom.de/mail/reo/b-21-telekom-00

Link zum Download

Die Einzige andere Adresse ist beim Download der vermeintlichen Rechnung zu finden:

httq://removebadplants.com/pdf_mail/online_kundencentertelekom

Aha, wer genau hinschaut sieht im Detail, dass keine zip Datei geladen wird, sondern eine Webseite… Im gesicherten Modus versuche ich mal die Adresse aufzurufen…

The requested URL /pdf_mail/online_kundencentertelekom was not found on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.0-fips mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at removebadplants.com Port 80

Oha! Seite nicht gefunden…

Auch andere Seiten, mit dem Pfad pdf_mail/online_kundencentertelekom, gesucht mit Google, zeigen ein ähnliches Ergebnis.

Nach einigem Suchen habe ich dann doch ein Stück vom toten Phisch gefunden. Das Script hinter dem Link bietet einen Download an. Das ist echt geschickt… aus dem Mail würde vermutlich ein Webbrowser gestartet und der Download angeboten. Mit den Begriffen wie Rechnung etc. klingt das recht echt.

Der Versuch diese Datei herunterzuladen endet im Chrome mit einer Warnung vor Malware. Sehr gut Chrome! Firefox 29.0.1 ist da weniger zimperlich… zu meinem Leid.

Aber gut, die Datei ist nun in der Sandbox, mal sehen was drin wäre.

> unzip -l 2014_06rechnung_982874620200_sign.zip 
Archive:  2014_06rechnung_982874620200_sign.zip
  Length     Date   Time    Name
 --------    ----   ----    ----
    88576  06-02-14 20:10   2014_06rechnung_982874620200_sign_telekom_deutschland_gmbh.exe
 --------                   -------
    88576                   1 file

Es ist wie Weihnachten diese zip Pakete zu öffnen:

> unzip 2014_06rechnung_982874620200_sign.zip

OK, was ist denn wirklich drin?

> less 2014_06rechnung_982874620200_sign_telekom_deutschland_gmbh.exe
...	

Oh weh, dieser Maschinen-Kauderwelsch wieder… aber irgendwann finden sich einige Pfade, die erwähnenswert sind:

C:\ppGKjew
C:\yMnixu\GiwUfhIzBoE\IqcoJnhok.nhv
c:\hsmd
c:\kporaadcyE\wzlntvifswk\jfzegj.plp
c:\JYtsrze\knsylslM\iehuAsvr\fbdqavb\lXjvqhjlgi.orv
C:\Fulb.vba
C:\eksfD\jkywue.xip

Eine weitere Recherche von IqcoJnhok.nhv zeigt, dass malwr.com tatsächlich einen Fiesling gefunden hat… und das bebildert und in Farbe!

Ganz besonders interessant ist die Verhaltensanalyse und die Tatsache, dass bei der Rechnung ein Programm Namens GrooveMonitor.exe zur Ausführung kommt… Monitor? Das kommt mir mehr als suspekt vor…

Was sagt denn das FileInfo der ausführbaren exe Datei?

LegalCopyright 		Copyright Pwlfi
InternalName 		Gpwex
FileVersion 		16.7.679.49994
CompanyName 		Pwlfi
ProductName 		Gpwex
ProductVersion 		16.7.679.49994
FileDescription 	Gpwex Moolvr Keqccxe
OriginalFilename 	Gpwex.exe

Aha! Hersteller ist nicht die Telekom, sondern irgendjemand mit kryptischen oder verschleiertem (obfuskierten) Namen.

Fazit

Für mich ist die Situation klar: Phishing-Mail.

Löschen! Mail -> Mülleimer -> Mülleimer leeren

03.06.2014

comments powered by Disqus

Copyright © Damian Thater, 2009-2016  -  Impressum