Froschs Blog

Trojaner-Versand nach geknacktem Account

16. September 2019 um 17:48 Uhr von Atari-Frosch

Richtig gelesen: „nach“, nicht „mit“.

Ich bekam heute Vormittag eine E-Mail, die scheinbar von einer Firma kam, mit der ich bis vor ein paar Monaten gelegentlich in Kontakt stand. Scheinbar, weil die Absender-Adresse nicht dazu paßte. Die Firma hat eine eigene Domain mitsamt MX, verschickt also normalerweise auch E-Mails unter dieser eigenen Domain. Aber die Absender-Adresse dieser E-Mail war eine völlig andere.

In dieser E-Mail wurde eine E-Mail von mir an die Firma zitiert, ein typischer Vollquote, darüber stand ohne Anrede „wie besprochen, in der Anlage die angeforderte [sic!] Informationen.“ Allerdings hatte ich diese E-Mail bereits Mitte Januar geschrieben gehabt; es war die letzte Mail, die ich dorthin geschickt hatte (und die war damals auch beantwortet worden).

Im Anhang befand sich eine Datei mit dem Dateinamen 2019-MAI-16.doc, also ein Word-Dokument. Dieses lud ich dann doch mal auf VirusTotal, und siehe da: 15 von 60 Virenscannern erkannten einen Trojan, auch wenn sie allesamt dafür unterschiedliche Bezeichnungen haben. Der Trojaner ist als Visual-Basic-Makro in das Dokument eingebettet. Wenn man das Dokument öffnet, ist das System kompromittiert.

Was passiert sein dürfte: Die info@-Adresse der Firma, mit der ich kommunizierte, wurde entweder direkt aufgemacht oder es wurde ein Account aufgemacht, auf den diese Adresse weitergeleitet wird. Statt die Adresse aber nun direkt zu mißbrauchen, wurden die Kontakte und von diesen empfangene E-Mails ausgelesen und dann diese „Antwort“ mit Vollquote und dem Trojan im Anhang generiert. Diese wurden über einen indischen MX mitsamt schöner DKIM-Signature ausgeliefert. Auf dem MX soll laut Header sogar ein Amavis-Virenscanner drübergelaufen sein und nichts erkannt haben – das kann man glauben oder nicht; Header lassen sich ja leicht fälschen. Ob dieser indische MX der einzige war, der für den Versand dieser E-Mails genutzt wurde, weiß ich natürlich auch nicht.

Und das erklärt für mich dann auch, warum seit einiger Zeit ganze /24-Ranges offenbar ausschließlich damit beschäftigt sind, den ganzen Tag zu versuchen, in Mailserver einzubrechen …

Worauf zu achten ist: Auch ein Vollzitat Deiner eigenen E-Mail an einen Dir bekannten Empfänger ist keine Garantie mehr dafür, daß die Mail tatsächlich von dort kommt. Guck Dir den Absender an, vor allem (aber nicht nur), wenn die Mail eine Antwort auf eine ältere Mail von Dir ist und/oder einen Anhang mitbringt.

[Update 2019-09-16 18:45] Auf Twitter kam eine gute Anmerkung:

Meine Vermutung: Ein Mitarbeiter der Hausverwaltung der (wie vermutlich auch einige andere Mitarbeiter) das IMAP-postfach eingebunden hat, hat einen freundlichen Anruf eines indischen Microsoft-Mitarbeiters erhalten und ihn sein System fixen lassen.

— Sie dürfen nicht alles glauben was sie denken! (@schroederator) September 16, 2019

ist bekannt, daß die dann den Userprofilordner (mit Outlook-pst-Datei) absaugen. Somit kommen die an die mailkommunikation, haben aber die Zugansgdaten nicht weil die verschlüsselt in der registry liegen.

— Sie dürfen nicht alles glauben was sie denken! (@schroederator) September 16, 2019

– das sowie die bekannten „Bewerbungs-Mails“ wären auch Einfallstore. Eventuell werden ja auch alle drei Methoden verwendet.

[/Update]

History

Dieser Eintrag wurde am 16. September 2019 um 17:48 verfaßt und unter Internet, Spam abgelegt. Sie können alle Antworten auf diesen Eintrag via RSS 2.0 verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website aus setzen.

Schlagwörter: Computersicherheit, Computervirus, E-Mail, Trojaner, Windows