Thomas Woelfers Baustatik Blog

Baustatik-Software und was sonst des Weges kommt

Interessanter Versuch

Wir filtern bereits auf unserem Mailserver Viren und Spam aus den eingehenden eMails aus - ich habe daher schon sehr lange keinen Angriffsversuch mehr auf meinem Desktop gesehen. Heute ist aber mal wieder einer durchgekommen, und ich finde, der ist sogar recht geschickt gemacht.

Die Mail hat die Betreffzeile "1. Rate" und folgenden Inhalt:

Sehr geehrte Damen und Herren!

Die Anzahlung Nr.850375402599 ist erfolgt

Es wurden 3887.00 EURO Ihrem Konto zu Last geschrieben.

Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

 

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

 

Darunter befindet sich die vollständige Anschrift einer Inkasso-Firma, mit allen notwendigen Angaben. Ein kurze Suche in Google liefert auch sofort einen Treffer: Es gibt diese Firma und auch den angegebenen Geschäftsführer. (Nachdem die aber natürlich nichts damit zu tun haben, nenne ich die hier auch nicht.)

Der Schadcode befindet sich in einer Zip-Datei im Anhang der Mail. In der ZIP-Datei befinden sich zwei Dateien mit den Namen "Rechnung.txt" und "zertifikat.sll". "Rechnung.txt" ist aber in der Tat eine Verknüpfung auf den Windows-Kommandoprozessor cmd.exe mit dem Parameter "/c zertifikat.ssl". Beabsichtigt ist also, das "zertifikat.ssl" ausgeführt wird. In der Tat handelt es sich bei zertifikat.sll auch nicht um ein zertifikat, sondern um eine Programm. Extrahiert man also beides aus der ZIP-Datei und doppelklickt auf "Rechnung.txt" (Sowohl Windows als auch Outlook warnen davor - zumindest bei mir), dann wird in der Praxis der Kommandoprozessor cmd.exe gestartet und damit das Programm in zertifikat.ssl ausgeführt. Ich habe nicht weiter untersucht was das eigentlich tun soll - aber in irgend einer Form wird es wohl zusätzliche Schadcode installieren oder ähnliches.

 

Als Absender der eMail wird (zumindest bei mir) eine Person in einer Domäne genannt, die einer belgischen (?) Papierverarbeitugnsfirma gehört. Auch die haben natürlich nichts damit zu tun (Haben aber offensichlich keine SPF-Records, denn sonst könnte niemand fremdes deren Absenderadresse verwenden. ).

 

Ich fand das ganz interessant gemacht - auch aus psychologischen Gründen: Der Text in der eMail klingt einerseits irgendwie plausibel, andererseits verunsicht er ein wenig: Hat man nun Geld bekommen oder bezahlt ist die Frage - und das verleitet natürlich zum doppelklick auf die Rechnung.... die keine ist.

Comments are closed