Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

News: Warnung vor der Mahnung

Warnung - gefälschte Mahnung von 1und1 unterwegs

xafford / 18 Antworten / Flachansicht Nickles
Bescheidenes Ergebnis (Quelle: Screenshot Virustotal)
Vor wenigen Minuten erreichte eine Mail von 1&1 mein Postfach - eine Mahnung laut Betreff. Zwar bin ich Kunde bei 1&1 und erhalte auch meine Rechnungen just von der (natürlich gefälschten) Absender-Adresse rechnungsstelle@1und1.de - aber der berechtigte Verdacht liegt nahe, dass es natürlich keine echte Mail ist, denn Mahnungen werden üblicherweise nicht per Mail verschickt und diese Masche ist auch altbekannt.

SPAM-Mails, Phishing-Mails und Viren-Mails sind an für sich nichts besonderes mehr und alltäglich - es lohnt sich in der Regel nicht darüber zu berichten. Warum ich über diesen Fall trotzdem berichte hat mehrere Gründe.

Zum einen ist diese Mail im Vergleich zu dem üblichen Mist recht gut gemacht - keine falschen Sonderzeichen, keine Schreibfehler (zumindest auf den ersten Block), korrekte Grammatik und auch die passende Absender-Adresse. Die Mail enthält auch keinen verdächtigen Anhang, sondern (auch nicht unüblich) einen Link (vorgeblich) zum Control-Center. Allerdings führt der Link (wie vermutet) nicht zum Control-Center von 1&1, sondern zu einem Download von einem Server mit einer schlecht gewarteten Joomla-Installation. Spätestens jetzt, wo hinter dem Link direkt ohne Authentifizierung der Download einer ZIP-Datei angeboten wird sollten alle Alarmglocken schrillen.

Wer die ZIP-Datei trotzdem herunter läd und entpackt findet darin eine ausführbare EXE-Datei, die jedoch mittels PDF-Icon und überlangem Dateinamen als PDF getarnt ist. Wer Dateierweiterungen ausblendet könnte wirklich auf den Gedanken kommen, es handle sich um eine solche.

Was das ganze jedoch besonders brisant macht ist der Umstand, dass aktuell (Stand 16.01.2014) noch sehr wenige Virenscanner diesen Schädling erkennen, laut Virustotal gerade einmal 14 von 48. Der kostenlose Scanner Microsoft gehört zu den Virenscnannern, die hier versagen und die Datei als sauber einstufen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
xafford PaoloP „Bist du in der Mail persönlich mit Name und Vorname ...“
Optionen
Bist du in der Mail persönlich mit Name und Vorname angesprochen worden?

Nein, es war eine nicht personalisierte Mail, also sind wohl bei 1&1 keine Daten abhanden gekommen.

Hat das Prozedere ohne JavaScript funktioniert

Ja, hat es. In der Mail war ein Link auf eine wohl gehackt Homepage, die mit einer (wahrscheinlich veralteten) Joomla-Installation lief. Die ZIP-Datei wurde direkt von dem verlinkten Server ausgeliefert und der Link führte auch direkt auf die Datei ohne Zwischenseite.

Es ist wohl so, dass diese Mail-Aktion aktuell nicht nur 1&1 betrifft und es haben auch bereits Personen 1&1-Mails bekommen, die nicht bei 1&1 sind - es ist also wohl eine Aktion nach dem Gießkannen-Prinzip und nicht auf vorhandene Daten basierend.

Was eben an diesen Mails recht brisant scheint ist, dass zum einen die Mails aufgrund ihrer Aufmachung einen ahnungslosen User nicht direkt entgegen schreien "Ich bin ein Betrug" und dass der Schädling ziemlich neu erscheint. Leider habe ich momentan nicht genug Zeit um ihn eingehender zu untersuchen, ich gehe aber mal blind davon aus, dass er der üblichen Masche folgt und versucht Login-Daten und Online-Banking ab zu greifen - eventuell ein neuer Zeus-Abkömmling.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
c PaoloP