Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

Trojaner-Versand nach geknacktem Account

16. September 2019 um 17:48 Uhr von Atari-Frosch

Richtig gelesen: „nach“, nicht „mit“.

Ich bekam heute Vormittag eine E-Mail, die scheinbar von einer Firma kam, mit der ich bis vor ein paar Monaten gelegentlich in Kontakt stand. Scheinbar, weil die Absender-Adresse nicht dazu paßte. Die Firma hat eine eigene Domain mitsamt MX, verschickt also normalerweise auch E-Mails unter dieser eigenen Domain. Aber die Absender-Adresse dieser E-Mail war eine völlig andere.

In dieser E-Mail wurde eine E-Mail von mir an die Firma zitiert, ein typischer Vollquote, darüber stand ohne Anrede „wie besprochen, in der Anlage die angeforderte [sic!] Informationen.“ Allerdings hatte ich diese E-Mail bereits Mitte Januar geschrieben gehabt; es war die letzte Mail, die ich dorthin geschickt hatte (und die war damals auch beantwortet worden).

Im Anhang befand sich eine Datei mit dem Dateinamen 2019-MAI-16.doc, also ein Word-Dokument. Dieses lud ich dann doch mal auf VirusTotal, und siehe da: 15 von 60 Virenscannern erkannten einen Trojan, auch wenn sie allesamt dafür unterschiedliche Bezeichnungen haben. Der Trojaner ist als Visual-Basic-Makro in das Dokument eingebettet. Wenn man das Dokument öffnet, ist das System kompromittiert.

Was passiert sein dürfte: Die info@-Adresse der Firma, mit der ich kommunizierte, wurde entweder direkt aufgemacht oder es wurde ein Account aufgemacht, auf den diese Adresse weitergeleitet wird. Statt die Adresse aber nun direkt zu mißbrauchen, wurden die Kontakte und von diesen empfangene E-Mails ausgelesen und dann diese „Antwort“ mit Vollquote und dem Trojan im Anhang generiert. Diese wurden über einen indischen MX mitsamt schöner DKIM-Signature ausgeliefert. Auf dem MX soll laut Header sogar ein Amavis-Virenscanner drübergelaufen sein und nichts erkannt haben – das kann man glauben oder nicht; Header lassen sich ja leicht fälschen. Ob dieser indische MX der einzige war, der für den Versand dieser E-Mails genutzt wurde, weiß ich natürlich auch nicht.

Und das erklärt für mich dann auch, warum seit einiger Zeit ganze /24-Ranges offenbar ausschließlich damit beschäftigt sind, den ganzen Tag zu versuchen, in Mailserver einzubrechen …

Worauf zu achten ist: Auch ein Vollzitat Deiner eigenen E-Mail an einen Dir bekannten Empfänger ist keine Garantie mehr dafür, daß die Mail tatsächlich von dort kommt. Guck Dir den Absender an, vor allem (aber nicht nur), wenn die Mail eine Antwort auf eine ältere Mail von Dir ist und/oder einen Anhang mitbringt.

[Update 2019-09-16 18:45] Auf Twitter kam eine gute Anmerkung:

– das sowie die bekannten „Bewerbungs-Mails“ wären auch Einfallstore. Eventuell werden ja auch alle drei Methoden verwendet.

[/Update]

2 Kommentare zu “Trojaner-Versand nach geknacktem Account”

  1. Gregor Siewert quakte:

    Wieso juckt dich sowas? Du nutzt doch eh kein Windows.


  2. Atari-Frosch quakte:

    Ja, Gregor, so einfach könnte man es sich machen. So einfach ist es aber nicht.

    Richtig ist: Visual Basic könnte auf meinen Linux-Maschinen nicht ausgeführt werden, selbst wenn ich versuchen würde, das angehängte Dokument mit zum Beispiel LibreOffice zu öffnen. Das ändert aber nichts daran, daß es mich nie betreffen könnte, wenn es auf anderen Rechnern ausgeführt wird.

    Das könnten zum Beispiel die PCs bei meinem Hausarzt sein, oder in einem Krankenhaus oder bei der Bahn oder anderen Infrastruktur-Unternehmen. Oder Behörden, die ja auch leider überwiegend auf Windows setzen und dabei nicht immer unbedingt die aktuellen Versionen laufen haben. Und dann sind unter Umständen auch Leute mitbetroffen, die ihre eigenen Systeme immer schön sauber halten und/oder nicht mit Windows arbeiten.

    Und dann: Ich hab nicht näher hingeguckt, was der Trojan so alles kann. Aber auf diesem Wege wäre es durchaus möglich, Malware zu verteilen, die nicht nur sich selbst weiterverbreitet, sondern zum Beispiel so nette Dinge macht wie Logins anzugreifen. Und dann kann so ein Ding auch denen Ärger machen, die kein Windows verwenden, indem beispielsweise der Mailserver angegriffen wird, den Du benutzt, und das so massiv, daß er in die Knie geht (gerade, wenn da bereits eine Antispam-Software läuft). Oder sie könnten massenweise Spam-Kommentare in Blogs und Foren verteilen – auch in Deine oder die, die Du verwendest.

    Deshalb sollte es uns alle „jucken“, wenn – insbesondere neue – Malware unterwegs ist.


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>