Also noch plumper geht es wirklich nicht mehr, wenn der Phisher noch eine Rechnung mit dem Titel Rechnung.exe sendet.
Was ist im Mailer zu sehen:
From: "Manuel Wagner" <manuelwagner@fastmail.fm>
To: "Manuel Wagner" <wie-kommt-manuel-zu-meinem-account@unverständnis.bla>
Betreff: Ihre Rechnung
Guten Tag,
Im Anhang dieser Email senden wir Ihnen Ihre aktuelle Rechnung.
Der offene Betrag ist innerhalb von 10 Tagen zu begleichen.
Bpay AG
+ Anhang: Rechnung.exe
Da kann man nur den Kopf schütteln...
Erster Eindruck
- "Guten Tag", selber
- "Im Anhang dieser Email senden wir Ihnen Ihre aktuelle Rechnung."... Aha. In einem Format, das ich nicht lesen kann aufm Mac. Hat wohl kein Verständnis für seine Kunden...
- "Der offene Betrag"... mmmh... zu welcher Transaktion?
- "ist innerhalb von 10 Tagen zu begleichen"... Oh ja, sonst?
- "Bpay AG"... Bpay-was?
Wie wäre es mal mit einem Internetauftritt, Impressum, Umsatzsteuer-ID, Geschäftsführerangabe und Postanschrift für Beschwerden? Alles Mangelware...
Internet-Check
Google sacht dazu: Betrugsversuch
Hinter der Kulissen
Wie sieht es im Mail-Code aus?
Received: from fastmail.fm ([5.28.110.81])
Echt jetzt? Oh man... Who the f*** is fastmail.fm
?
> whois fastmail.fm
Registrar Name: Gandi SAS
Address: 63-65 boulevard Massena
75013 Paris
Country: FR
Registrant:
Name: Robert Norris
Organisation: FastMail Pty. Ltd.
Address:
Level 1, 91 William St
Melbourne 3000
AU
Vergleichen wir mal die Fakten mit Internet-Artikeln. Es wird bekannt gemacht, dass Fastmail.fm mit Gandi SAS eine Kooperation eingegangen ist und Fastmail.fm um den 10.4.2014 herum einem Hackerangriff erlegen ist. Wundert mich also nicht, dass der Server Emails in die Welt setzt, die plausiblen Ursprungs zu sein scheinen.
Dennoch, und gerade deswegen, ist Vorsicht geboten.
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.16) Gecko/20080708 Thunderbird/2.0.0.16
X-Accept-Language: en-us
Content-Type: text/plain;
charset="us-ascii"
Cool. Die Email wurde von einem französischen Thunderbird Mailer gesendet und akzeptiert US-englische Sprache... komischer Mix.
Mal sehen, was das Leckerlie zu bieten hat: Rechnung.exe.
Ich kann nur warnen, eine ausführbare (exe) Datei unter Windows zu öffnen! Die Konsequenzen wären nicht zu unterschätzen.
Mit less /tmp/Rechnung.exe
kann ich mir seelenruhig den Dateiinhalt anschauen.
Da es sich um ein Binary, also um maschinenlesbaren Code, handelt kan man nur schwer
"lesen" was drin steht. Dennoch sind ein paar Zeichen lesbar.
Offenbar werden Operationen mit einer Datei Namens
C:\\MYApp.EXE
bzw. c:\\\\\\MYapp.exe
durchgeführt.
Darunter befindet sich ein Text "Local AppWizard-Generated Applications",
was bei Google als Trojaner bzw. Backdoor geführt wird.
In dem Teil der Dateibeschreibung befindet sich der Originalname der Datei, der bei der Herstellung verwendet wurde:
OriginalFilename jds_snake.exe
FileDescription jds_snake
LegalCopyright 2014
Googlet man wiederum jds_snake.exe
trifft man auf angeblichen Code des Spiels "Snake".
Update vom 24.4.2014
Inzwischen kam die gleiche Email erneut bei mir auf, diesmal aber mit einem anderen Programmunterbau:
OriginalFilename PolySurface
FileDescription PolySurface.exe
LegalCopyright 2014
FileVersion 1, 0, 0, 18
ProductVersion 1, 0, 0, 1
Googlet man wiederum PolySurface.exe
erhält man nur wenige Informationen,
darunter aber den sehr interessanten Link, der eine verwante Rechnung.dat auf Herz und
Nieren untersucht:
pedump.me.
Darin fällt auf, dass es sehr viele chinesische Texte für Menübeschriftungen gibt...
Auch VirusTotal meldet hochgradig ansteckende, Viren befallene Datei: www.virustotal.com
OK, was auch immer sich hinter der Datei verbirgt, ist ab hier uninteressant für mich. Eine Rechnung, die ein Spiel bereithält ist suspekt, die im Hintergrund aber dubiose andere Dateien handhabt ist mehr als verdächtig und gehört nur an eine Stelle im System...
Fazit