Novgorod
ngb-Nutte
- Registriert
- 14 Juli 2013
- Beiträge
- 3.055
Servus,
wir sind alle bestens vertraut mit den üblichen spam/phishing/viren-mails in gebrochenem deutsch oder englisch und das höchste der gefühle ist, wenn in der anrede der echte name steht.. heute habe ich allerdings ein exemplar bekommen, das mich ein stück vom hocker gehauen hat - einen derartigen (kosten-)aufwand bloß für eine virenmail habe ich noch nie erlebt.. der name stimmt, die anschrift stimmt (wenn auch knapp ein jahr nicht mehr aktuell, aber mei), die handynummer stimmt, das deutsch ist (fast) tadellos und der virus ist so neu, dass ihn kaum ein virenscanner erkennt.. alles in allem ist es ein kunstwerk von einer virenmail - hut ab!
der text:
anhang: "25.03.2017 [Name].zip"
inhalt der zip-datei: "25.03.2017 [Name].zip" -> "25.03.2017 [Name].zip" (zip-ception ) -> "25.03.2017 [Name].com" (520kB entpackt)
virustotal-analyse (ist nicht exakt meine datei, sondern eine mit demselben hash, die ein paar stunden vorher schon analysiert wurde) - erstaunlich geringe erkennungsrate und dann nur durch heuristik (außer baidu, ausgerechnet )..
hier ein paar header-daten:
subject: Rechnung für [Name] vom 25.03.2017
from: Beauftragter Rechtsanwalt Directpay GmbH <info@ebay.de> (sicher )
user agent: PHPMailer (was sonst...)
message-ID: <99abf6317f80dcc5c6d0b2e7f28ba3cc@6haribisa.com> (diese domain, die als spamschleuder gehackt wurde, ist offenbar die webseite einer indonesischen englisch-sprachschule - wtf!? )
nach ein wenig googlen stellte sich heraus, dass der mail-text in der art schon 2015 oder ggf. noch früher aufgetaucht ist, allerdings habe ich bisher nicht erlebt, dass die scammer richtiges geld für die vollständige anschrift inkl. handynummer ausgeben.. diese daten wurden nur für online-bestellungen bei "eigentlich" legitimen shops benutzt (), d.h. die viren-typen können sie nur von edel-adresshändlern bekommen haben, wo so ein datensatz bestimmt ein paar € kostet.. daher erstaunt es mich umso mehr, welchen finanziellen aufwand sie betreiben bei einer so geringen chance, dass es wirklich durchkommt, zumal viele größere email-anbieter verschachtelte zip-dateien oder irgendetwas ausführbares innerhalb des archivs sofort blacklisten.. zumindest wollten sie mit dem verwendeten virus sichergehen, dass es sich auch lohnt, wenn er mal durchkommt ..
mit dem thread wollte ich eigentlich nur darauf aufmerksam machen und den versendern der wahrscheinlich teuersten viren-mails respekt zollen .. mich würde auch interessieren, was der virus eigentlich macht.. ich tippe mal auf crypto-trojaner aufgrund der enormen investition..
wir sind alle bestens vertraut mit den üblichen spam/phishing/viren-mails in gebrochenem deutsch oder englisch und das höchste der gefühle ist, wenn in der anrede der echte name steht.. heute habe ich allerdings ein exemplar bekommen, das mich ein stück vom hocker gehauen hat - einen derartigen (kosten-)aufwand bloß für eine virenmail habe ich noch nie erlebt.. der name stimmt, die anschrift stimmt (wenn auch knapp ein jahr nicht mehr aktuell, aber mei), die handynummer stimmt, das deutsch ist (fast) tadellos und der virus ist so neu, dass ihn kaum ein virenscanner erkennt.. alles in allem ist es ein kunstwerk von einer virenmail - hut ab!
der text:
Sehr geehrte(r) [Name],
zu unserem Bedauern haben wir festgestellt, dass unsere Erinnerung NR873854353 bisher ergebnislos blieb. Heute bieten wir Ihnen damit letztmalig die Chance, den ausbleibenden Betrag der Firma Directpay GmbH zu begleichen.
Aufgrund des bestehenden Zahlungsrückstands sind Sie gezwungen zuzüglich, die durch unsere Tätigkeit entstandene Kosten von 59,17 Euro zu tragen. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen. Um zusätzliche Mahnkosten auszuschließen, bitten wir Sie den fälligen Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 23.03.2017.
Gespeicherte Personalien:
[Name]
[Straße]
[PLZ/Ort]
Telefon: [Handynummer]
Überweisen Sie den nun fälligen Betrag unter Angaben der Artikelnummer so rechtzeitig, dass dieser spätestens zum 30.03.2017 auf unserem Bankkonto eingeht. Falls wir bis zum genannten Termin keine Zahlung einsehen, sind wir gezwungen Ihren Mahnbescheid an ein Inkassounternehmen zu übergeben. Alle damit verbundenen Zusatzkosten gehen zu Ihrer Last.
Eine vollständige Forderungsausstellung NR. 873854353, der Sie alle Positionen entnehmen können, ist beigefügt.
Mit freundlichen Grüßen
Beauftragter Rechtsanwalt Henry Harsherin
anhang: "25.03.2017 [Name].zip"
inhalt der zip-datei: "25.03.2017 [Name].zip" -> "25.03.2017 [Name].zip" (zip-ception ) -> "25.03.2017 [Name].com" (520kB entpackt)
virustotal-analyse (ist nicht exakt meine datei, sondern eine mit demselben hash, die ein paar stunden vorher schon analysiert wurde) - erstaunlich geringe erkennungsrate und dann nur durch heuristik (außer baidu, ausgerechnet )..
hier ein paar header-daten:
subject: Rechnung für [Name] vom 25.03.2017
from: Beauftragter Rechtsanwalt Directpay GmbH <info@ebay.de> (sicher )
user agent: PHPMailer (was sonst...)
message-ID: <99abf6317f80dcc5c6d0b2e7f28ba3cc@6haribisa.com> (diese domain, die als spamschleuder gehackt wurde, ist offenbar die webseite einer indonesischen englisch-sprachschule - wtf!? )
nach ein wenig googlen stellte sich heraus, dass der mail-text in der art schon 2015 oder ggf. noch früher aufgetaucht ist, allerdings habe ich bisher nicht erlebt, dass die scammer richtiges geld für die vollständige anschrift inkl. handynummer ausgeben.. diese daten wurden nur für online-bestellungen bei "eigentlich" legitimen shops benutzt (), d.h. die viren-typen können sie nur von edel-adresshändlern bekommen haben, wo so ein datensatz bestimmt ein paar € kostet.. daher erstaunt es mich umso mehr, welchen finanziellen aufwand sie betreiben bei einer so geringen chance, dass es wirklich durchkommt, zumal viele größere email-anbieter verschachtelte zip-dateien oder irgendetwas ausführbares innerhalb des archivs sofort blacklisten.. zumindest wollten sie mit dem verwendeten virus sichergehen, dass es sich auch lohnt, wenn er mal durchkommt ..
mit dem thread wollte ich eigentlich nur darauf aufmerksam machen und den versendern der wahrscheinlich teuersten viren-mails respekt zollen .. mich würde auch interessieren, was der virus eigentlich macht.. ich tippe mal auf crypto-trojaner aufgrund der enormen investition..