Die (fast) perfekte Virenmail

[Novgorod]

Servus,

wir sind alle bestens vertraut mit den üblichen spam/phishing/viren-mails in gebrochenem deutsch oder englisch und das höchste der gefühle ist, wenn in der anrede der echte name steht.. heute habe ich allerdings ein exemplar bekommen, das mich ein stück vom hocker gehauen hat - einen derartigen (kosten-)aufwand bloß für eine virenmail habe ich noch nie erlebt.. der name stimmt, die anschrift stimmt (wenn auch knapp ein jahr nicht mehr aktuell, aber mei), die handynummer stimmt, das deutsch ist (fast) tadellos und der virus ist so neu, dass ihn kaum ein virenscanner erkennt.. alles in allem ist es ein kunstwerk von einer virenmail - hut ab!

der text:

Sehr geehrte(r) [Name],

zu unserem Bedauern haben wir festgestellt, dass unsere Erinnerung NR873854353 bisher ergebnislos blieb. Heute bieten wir Ihnen damit letztmalig die Chance, den ausbleibenden Betrag der Firma Directpay GmbH zu begleichen.

Aufgrund des bestehenden Zahlungsrückstands sind Sie gezwungen zuzüglich, die durch unsere Tätigkeit entstandene Kosten von 59,17 Euro zu tragen. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen. Um zusätzliche Mahnkosten auszuschließen, bitten wir Sie den fälligen Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 23.03.2017.

Gespeicherte Personalien:

[Name]
[Straße]
[PLZ/Ort]

Telefon: [Handynummer]

Überweisen Sie den nun fälligen Betrag unter Angaben der Artikelnummer so rechtzeitig, dass dieser spätestens zum 30.03.2017 auf unserem Bankkonto eingeht. Falls wir bis zum genannten Termin keine Zahlung einsehen, sind wir gezwungen Ihren Mahnbescheid an ein Inkassounternehmen zu übergeben. Alle damit verbundenen Zusatzkosten gehen zu Ihrer Last.

Eine vollständige Forderungsausstellung NR. 873854353, der Sie alle Positionen entnehmen können, ist beigefügt.

Mit freundlichen Grüßen

Beauftragter Rechtsanwalt Henry Harsherin

anhang: "25.03.2017 [Name].zip"
inhalt der zip-datei: "25.03.2017 [Name].zip" -> "25.03.2017 [Name].zip" (zip-ception ) -> "25.03.2017 [Name].com" (520kB entpackt)
virustotal-analyse (ist nicht exakt meine datei, sondern eine mit demselben hash, die ein paar stunden vorher schon analysiert wurde) - erstaunlich geringe erkennungsrate und dann nur durch heuristik (außer baidu, ausgerechnet )..

hier ein paar header-daten:
subject: Rechnung für [Name] vom 25.03.2017
from: Beauftragter Rechtsanwalt Directpay GmbH <info@ebay.de> (sicher )
user agent: PHPMailer (was sonst...)
message-ID: <99abf6317f80dcc5c6d0b2e7f28ba3cc@6haribisa.com> (diese domain, die als spamschleuder gehackt wurde, ist offenbar die webseite einer indonesischen englisch-sprachschule - wtf!? )


nach ein wenig googlen stellte sich heraus, dass der mail-text in der art schon 2015 oder ggf. noch früher aufgetaucht ist, allerdings habe ich bisher nicht erlebt, dass die scammer richtiges geld für die vollständige anschrift inkl. handynummer ausgeben.. diese daten wurden nur für online-bestellungen bei "eigentlich" legitimen shops benutzt (), d.h. die viren-typen können sie nur von edel-adresshändlern bekommen haben, wo so ein datensatz bestimmt ein paar € kostet.. daher erstaunt es mich umso mehr, welchen finanziellen aufwand sie betreiben bei einer so geringen chance, dass es wirklich durchkommt, zumal viele größere email-anbieter verschachtelte zip-dateien oder irgendetwas ausführbares innerhalb des archivs sofort blacklisten.. zumindest wollten sie mit dem verwendeten virus sichergehen, dass es sich auch lohnt, wenn er mal durchkommt ..

mit dem thread wollte ich eigentlich nur darauf aufmerksam machen und den versendern der wahrscheinlich teuersten viren-mails respekt zollen .. mich würde auch interessieren, was der virus eigentlich macht.. ich tippe mal auf crypto-trojaner aufgrund der enormen investition..

 

[theSplit]

Moin!

@Novgorod: Lass doch mal in einer Linux VM nen Windows laufen z.b. 7 und führe das Teil aus, Internet aber erst mal im Host deaktivieren...

Und schneide mal den Netztraffic wo sich das Teil hin verbindet... oder was es für Dateien öffnet, ausliest, speichert.... (ProzessExplorer, Diskmon oder sowas z.b.)

Alternativ kannst du auch mal mit nem Hex-Editor / Debugger mit Hex-Funktion in der IDE nach Raw-Strings suchen, ob IPs oder Strings eincodiert sind... falls das Teil nicht auch noch gepackt ist bzw. selbst entpackend.
Aber auch das kann man mit dem Debugger nachvollziehen. Wenn ein Debugger abrauscht, Anti-Anti-Debugging-Techniken einrichten...

 

[Novgorod]

ich habs bisher nur kurz im hex/texteditor überflogen aber nichts brauchbares lesbares gefunden.. für richtiges reverse engineering sind meine skillz nicht 1337 genug - ich kann dir aber gerne die mail weiterleiten ..

 

[theSplit]

@Novgorod:
Ich wollte eigentlich heute was im Garten machen, und nicht versuchen mir ne Debugging Station für Viren einzurichten

Du kannst dir aber zum Beispiel mal die Datei mit dem guten alten "OllyDbg" anschauen und dort Strings extrahieren lassen, falls welche gefunden werden.
Solltest dann aber nicht in Versuchung kommen das Teil zu starten

 

[Abul]

Hey, so eine habe ich auch bekommen. Aber als ich *.zip las, hab ich die bedenkenlos gelöscht
Zumal da eine Telefonnummer angegeben war, die ich schon lange nicht mehr habe.
Ich könnte mir vorstellen das die Daten aus dem Mindfactory-Hack sind. Hast du nen Account bei Mindfactory?

E: zur Erinnerung

 

[tokotoko]

Finds jetzt auch nicht wirklich überraschend. Bekomme genau solche Mails auch ab und an, das "Deutsch" ist meistens ganz gut. Die leider echten Daten von mir müssen auch von irgendeinem Shop o.ä. stammen (nicht Mindfactory, muss was sein was mir nach hause geliefert worden ist, woanders gebe ich keine echten Daten in diesem Umfang an). Die letzte "recieved from:" IP aus dem Header gehört dem Landwirtschaftsministerium in Weissrussland.
Denke mal das es "Hacker" gibt die sich drauf spezialisiert haben Datensätze von Shops usw. abzugreifen um diese an Spammer zu verkaufen. Gleiches gilt wohl für für Server die als Spam-Schleudern missbraucht werden.
Gibts bestimmt alles im "Darknet" zu kaufen.
Nur blöd das ich eigentlich weiss das ich grad nirgendwo eine Rechnung offen habe, erst recht nichts bei dem angeblichen Absender bestellt habe oder zu bezahlen habe. Ausserdem würde kein seriöser Shop, Dienstleister o.ä. seine Mahnungen oder Rechnungen in .zip Dateien an E-Mails anhängen, von daher lösche ich alle Mails mit solchen Anhängen ungefragt.
Muss sich aber trotzdem lohnen solche Mails zu verschicken, ich und meine Frau bekommen solche Mails in unregelmäßigen Abständen seit mehr als anderthalb Jahren.
https://ngb.to/threads/9813-Betrug-E-Mails-(Phishing)

Vielleicht ist der analysierte "Virus" aus genau so einer Mail?
https://www.heise.de/security/artik...ealer-RAA-und-das-diebische-Pony-3303113.html

 

[Novgorod]

gehackte shops waren mir nicht in den sinn gekommen, aber das wäre ne gute erklärung, warum sie derart "hochwertige" daten für sowas wegwerfen (die klickrate von email-viren ist auch bei den DAUs extrem gering mittlerweile) - denn wie gesagt, aus den üblichen quellen sind solche daten erheblich teurer als wenn man sie sich selbst "erhackt" .. und ja, ich habe in der tat einen mindfactory-account mit der adresse, das könnte tatsächlich die quelle sein.. hab mich schon gewundert, wieso sie extra für mich soviel geld ausgeben würden .. wäre es dann aber nicht schlauer, sich als der gehackte shop auszugeben statt als 0815-ebay-anwalt?

 

[Metal_Warrior]

Ich weiß nicht, ob sich jemand die Zeit nimmt, das Teil genauer anzusehen, aber wenn es einer tut und rausfindet, dass es gut funktioniert und Netzwerktraffic produziert, wär es super, wenn man mir das Ding schicken könnte. Der letzte IT-Sicherheits-Unterricht hat sich nämlich etwas hingezogen, nachdem die verwendeten Zeus-Versionen alle so mies geschrieben waren, dass sie sich nichtmal auf nem Win7 installieren ließen...

 

[thom53281]

wäre es dann aber nicht schlauer, sich als der gehackte shop auszugeben statt als 0815-ebay-anwalt?

Nachdem der Hack nun schon einige Jahre zurückliegt und die Liste auch entsprechend alt ist, kann man ja nicht unbedingt sagen, dass sich jeder Angeschriebene gerade vor kurzem erst was bei Mindfactory gekauft hat. Würde da den Trick mit dem Anwalt schon als lukrativer empfinden.

 

[Novgorod]

hast recht, hab nicht gleich gesehen, dass es 2011 war.. wobei laut dem artikel die daten damals für werbespam statt für viren mit mindfactory-absender verwendet wurden - die logik dahinter werde ich wohl nie verstehen..

hm, wenn ich mal zeit habe, könnte ich ja mal ne kopie von meiner <1GB-XP-VM dafür opfern .. und, uhm, es sollte eigentlich theoretisch nicht möglich sein, dass er aus vmware ausbrechen kann, oder?

 

[Jan_de_Marten]

.......und, uhm, es sollte eigentlich theoretisch nicht möglich sein, dass er aus vmware ausbrechen kann, oder?

Ja genau da war doch was ......

https://www.heise.de/newsticker/meldung/Hacker-brechen-aus-virtueller-Maschine-aus-3658416.html

 

[Rakorium-M]

Schick mir das File auch mal, ich schau mal mit nem Disassembler rein...

 

[theSplit]

@Novgorod:

Naja, 100% sicher sein das so ein Teil nicht aus einer VM ausbricht, kann man wohl auch nicht sein... siehe verlinkten Artikel, aber wenn du nicht gerade auch noch Windows als Host für die VM einsätzt, sehe ich (noch) keine Bedenken.
Aber alle Platten bis auf das nackte Linux OS sollte man vielleicht dennoch abstöpseln das so wenig Hardware wie möglich betroffen wäre, im Falle es passiert wirklich etwas

Nicht das du nachher nen Problem hast

@Rakorium-M:

Coole Sache
Du kannst ja mal schreiben wenn du etwas findest
Bzw. ne Crypter Loop oder sowas und ob das Teil nur WinApi - Calls hat oder sich selbst entpackt oder oder....

 

[Novgorod]

ok, ihr habt's so gewollt - dann viel spaß damit

http://www65.zippyshare.com/v/ZE3mZ0y2/file.html

Spoiler

passwort: notmygully

e: interessanterweise füllt sich im laufe des tages langsam die virustotal-seite mit scannern, die das erkennen - und aus der beschreibung lässt sich erahnen, dass es tatsächlich ein crypto-trojaner ist, wie vermutet..

 

[Rakorium-M]

Die .com-Datei ist in Wirklichkeit eine umbenannte 32-bit-Exe-Datei, die durch einen Packer oder Obfuscator geschützt wurde. Der Großteil der Datei besteht laut Disassembler aus zusammenhanglosen Daten (und zwar auch im Code-Segment).

Die erste "Funktion", die ausgeführt wird, ist "start" (0x406982). Die Funktion wurde mit ganz vielen unnötigen Sprungbefehlen so aufgeblasen, dass der Disassembler sie anfangs gar nicht grafisch darstellen wollte. Der Decompiler ließ sich nur dazu überreden, den ersten Block zu verarbeiten. Dieser erste Block scheint Daten aus dem Icon (?) der Datei (und anderen eingebetteten Bitmaps) zu lesen, um damit Teile des Speichers (Programmcodes?) neu zu schreiben. Anschließend wird ein größerer Block Speicher reserviert, in dem ein undefinierbarer Code-Block dann arbeitet.
Anscheinend hatte da jemand Ahnung von Anti-Reversing-Techniken. Auf weitere Analysen verzichte ich.

Google nach dem Kaspersky-Namen meint, dass es sich um eine Variante des "Nymaim"-Trojaners handelt. 2016 besaß der Virus angeblich schon "eine hochentwickelte Verschleierungstechnik, Anti-VM, Anti-Debugging und Kontrollflussanalyse", und wurde für Datenklau oder Ransomware benutzt.

Spoiler

Der decompilierte erste Funktionsblock: [src=c]void start(){
v10 = 23423;
ho = (HBITMAP)GetVersion();
v9 = 323;
*(_DWORD *)IconName = ho;
v0 = (char *)LoadIconA(0, IconName) + 0x85BE;
while ( v0 )
{
--v0;
ho = CreateBitmap(3243, 33, 2u, 33u, &unk_41E98E);
GetBitmapBits(ho, 11, &unk_41E98E);
DeleteObject(ho);
ho = CreateBitmap(3243, 33, 2u, 33u, &unk_41E98E);
GetBitmapBits(ho, 11, &unk_41E98E);
DeleteObject(ho);
ho = CreateBitmap(3243, 33, 2u, 33u, &unk_41E98E);
GetBitmapBits(ho, 11, &unk_41E98E);
DeleteObject(ho);
ho = CreateBitmap(3243, 33, 2u, 33u, &unk_41E98E);
GetBitmapBits(ho, 11, &unk_41E98E);
DeleteObject(ho);
}
v7 = v1 + 45441;
v6 = VirtualAlloc((LPVOID)&Address, 0xA50D700u, nHeight, 0xFC7F7700);
dword_41E4EC = WaitNamedPipeA((LPCSTR)&NamedPipeName, nHeight);
*(int *)((char *)&dword_41E14E + 2) = v4;
v3 = nHeight + v8;
v5 = v2 - 24426;
JUMPOUT((char *)&loc_408127 + 1);
}[/src]

 

[theSplit]

@Rakorium-M:

Dann wird der neue Speicherbereich vermutlich dafür genutzt, um den "Virus" zu entpacken... ließ sich das Teil einfach so debuggen oder ist dir der Debugger mal abgestürzt?

 

[Rakorium-M]

Vermute ich auch. Debugger hab ich nicht ausprobiert - war mir doch etwas zu riskant das Ding laufen zu lassen. Hab nur statisch reingeschaut.

 

[alter_Bekannter]

Gibt es nur inkompetete Kriminelle? Man muss doch kein Genie sein einen glaubwürdigen Useragent einzutragen.

Die haben wohl im Schnitt so viel Qualitätskontrolle wie Poco. Okay, geringfügig mehr, die Mail ist ja angekommen.

Ja die ist gemessen am Durchschnitt gut, aber nur weil der durchschnit unter aller Sau ist. Exakt das ist gerade mein Problem.

 

[Meta]

Hab ich auch im Februar bekommen. Die Telefonnummer war veraltet (seit 2014). In der Anlage fand sich eine Datei "Datum Vorname Name.zip", die Virustotal mit 5/56 als Trojaner erkannte. Sollen aus Malta stammen.

 

[dexter]

Ich find das jetzt auch nicht so weltbewegend, solcherart Spam bekomme ich seit Jahren. (Was nicht heissen soll, dass ich nicht interessiert auf genaue(re) Analysen gespannt bin)