aipi informiert

Hier finden Sie aktuelle Informationen von aipi.

E-Mail-SPAM mit Trojanern made in Germany

Quelle: https://mailcow.email/

24. Januar 2019

Im Dezember 2018 und Januar 2019 zeigte die Hacker-Gemeinschaft, wie einfach und schnell sie mit ihrem Trojaner »emotet« (Hinweise des BSI hierzu) mittels Makroviren in Bewerbungen und Rechungen diverse Rechner infizieren konnte. Eines hatten die Mails, über die die Verbreitung erfolgte, aber gemeinsam: falsche Absenderadressen. Und wenn die Absenderadresse doch einmal korrekt war, weil man ein gehacktes Konto zum Versenden mißbrauchen konnte, dann wurde zum Absender noch ein zweiter Name ergänzt. Bekannter Empfänger <bekannte@adresse> <gehackte@adresse> als Absender war das typische Merkmal solcher Nachrichten, die meiste von Systemen aus aller Welt kamen.

Was aber in dieser vierten Jahreswoche 2019 durch das vornehmlich deutsche Internet kursiert, ist von den gängigen Mailservern kaum noch als SPAM zu erkennen. Lediglich der Anhang der E-Mails (ZIP-Archiv mit einer PDF- und einer JavaScript-Datei) verrät, dass hier etwas nicht stimmt. Die Nachrichten kommen von deutschen Servern, sind korrekt signiert, alles wirkt nicht nur echt - es ist echt. Anhand einer von vielen Nachrichten, die unser Mailserver trotz der guten Machart der Nachricht entdeckte, möchten wir das Problem in Sachen Erkennung genauer erläutern:

Der Mailserver des Absenders steht in Deutschland

Zum Versenden der Nachrichten wurde bereits am 26. April 2018 eine .com Domain über den Anonymisierungsdienst njalla registriert. Bei einem mittelständischen deutschen Webhosting-Unternehmen mietete sich der Versender in der Folge einen (virtuellen?) Server mit eigener IP-Adresse an und lies beim Anbieter sogar den Servernamen der IP-Adresse zuweisen. Als dieser so genannter Reverse Record wurde mail.domainname.com genutzt. Gleichzeitig richtete der Versender den passenden Eintrag im DNS-Server seines anonymisierenden Anbieters ein. Mit dieser Grundausstattung wurde auf dem gemieteten Server dann die Mailserver-Appliance mailcow installiert. mailcow bietet eine sehr gut vorkonfigurierte Sammlung von Mailserverprogrammen an und basiert auf Linux. Der Entwickler dieses Systems kommt aus Deutschland und liefert eine gute Anleitung zum Konfigurieren. So konnte der Angreifer perfekt einen offiziell aussehenden Mailserver aufsetzen, auf dem auch noch eine Webmail-Funktionalität installiert wurde. Und mögliche Antwort-Mails für domainname.com nimmt das System auch entgegen. Vermutlich kommt der Versender in diesem Fall aus Deutschland, denn auch sprachlich ist die Nachricht sehr gut formuliert. Nur ein Footer, mit Adresse, Kontaktdaten und rechtlichen Pflichtangaben fehlt. Und auf Nachfragen zu den Nachrichten haben wir bislang auch noch keine Antworten erhalten.

Anhang bitte öffnen!

Ein offizieller Mailserver mit aktuellen Sicherheitstechniken und Standort Deutschland, eine korrekte Absenderadresse, sehr guter deutscher Text - die klassischen Merkmale für SPAM fehlen. So gelangt eine Mail durch den SPAM-Filter direkt zum Benutzer. Und damit der Empfänger den (infizierten) Anhang der Nachricht öffnet, wird emotionaler Druck erzeugt: es geht um eine Abmahnung aufgrund eines Verstoßes gegen die EU-DSGVO. Welcher Empfänger schaut da nicht nach?

Nachrichten mit JavaScript-Trojaner

Aber Achtung: In den Nachrichten, die von nicht existierenden Anwaltskanzleien wie Wiedsmann & Kollegen etc. kommen, schlummert im Inhalt der angehängten ZIP-Archive (VORGANGX-XAV-DSGVO-[Datum]X-X1.zip) nicht nur eine PDF-Datei mit einem Urteil des OLG Frankfurt (Quelle: http://www.lareda.hessenrecht....html#docid:8119461) sondern auch ein kleines Javascript, dass den Trojaner auf dem Rechner installieren will. Wer also eine Abmahnung bekommt, sollte erst einmal überprüfen, ob die angeblich abmahnende Kanzlei überhaupt existiert. Und wenn in der Nachricht selber keine Anschrift, keine Kontaktmöglichkeit vorhanden ist, dann gehört eine solche Nachricht direkt dorthin, wo sie weder Mailserver noch E-Mail-Programm befördert haben: in den SPAM-Ordner.

Zum Schutz: Virenfilter beim Provider

Da der Anhang keinen echten Schadcode beinhaltet sondern nur ein Javascript, das Inhalte von einem Server in Sofia (Bulgarien) nachlädt, ist das ganze auf den ersten Blick für lokal installierte Virenscanner schwer zu erkennen. Bei aipi haben ESET und clamav aber den Code zuverlässig analysiert und die Zustellung der Nachrichten verhindert.

[

aipi e. K.
Claus Plachetka

]

Telefon (04401) 98391-0
Grenzstraße 4, 26919 Brake
E-Mail info@aipi.de

Eintragen im Handelsregister des Amtsgerichts Oldenburg, HRA 204521 | EU-Umsatzsteuer- Identifikationsnummer: DE222490801 | aipi ist eine eingetragene EU-Marke, 015642523

Made in Germany Made in Germany | powered by

twitter    facebook    Instagram

XING    LinkedIn   

[ DE ]    [ EN ]    [ RU ]   [ FRIESLAND ]    [ BAYERN ]

[ Datenschutz ]