ACH transfer error

Spam Mail ACH transfer error
ACH transfer error
Heute flatterte wieder so eine NACHA fraud Mail in mein Postfach. Wie an der Statuszeile links unter unschwer erkennbar, handelt es sich bei dem angeblichen PDF-Dokument um eine HTML-Seite. Diese lädt von drei verschiedenen Server ein und das selbe JavaScript nach (doppelt hält besser und dreifach noch mehr, es müssen also drei Server gesäubert werden, um das System lahm zu legen), dass wiederum von einem vierten Server eine Seite mit obfuscated JavaScript code nach lädt. Was das letzte Script bewirkt, habe ich noch nicht ausprobiert. Ich würde es auch nur in einer virtuellen Maschine tun, die ich anschließend in Nirwana schicke. Aber heute will ich noch zum Sport.

Siehe auch:

  1. NACHA Alert Trojaner
  2. Update: NACHA Alert

NACHA Alert Trojaner

Trojaner Server
Trojaner Server
Zur Zeit treten vermehrt Mails mit dem Betreff „[e-mail-adresse] Nacha Alert ID[Nummer]“ auf. Der Aufbau der HTML-Mail ist sehr einfach. Sie enthält die Aufforderung seinen NACHA Accout durch folgen des Links aufzudatieren. Die ID-Nummer in der Mail muss dabei nicht mit der im Betreff übereinstimmen. Die Links unter dem Text und dem Logo verweisen auf ein ausführbares Programm. Dabei werden verschiedenen Server verwendet. Die Datei wird bei mir von ClamAV und AntiVir zur Zeit nicht nicht als Schadsoftware erkannt. Auf VirusTotal ergibt sich eine Erkennungsrate von 8/43. BitDefender bezeichnet das Teil als Trojan.Generic.KD.540289 und Kaspersky als Trojan.Win32.Jorik.Downloader.uf

Das Programm liegt auf verschiedenen Servern. In den letzten zwei Tagen waren es folgende:

  1. cattaneoetcie.fr – 87.106.171.182 – Cattaneoet&Cie
  2. machineryvaluerssydney.com.au – 50.22.40.192
  3. rscine.ro – 209.217.228.21 – Romanian Society of Cinematographers
  4. www.soloairesmaduro.com – 72.44.88.111 – Account gesperrt

Die Datei- und Verzeichnisnamen unter denen sich der Trojaner versteckt, sind jeweils andere zufällige Zeichenfolgen. 🙂 Die Clients, die Mails verschicken, sind nicht identisch mit den Servern, auf denen die Trojaner liegen. Mail-Sender-IP: 12.215.64.124, 125.165.177.159, 188.2.55.41, 37.107.20.245. Es scheint hier gibt es ein kommunizierendes Botnetz.

Registrator ist für machineryvaluerssydney.com.au „Crazy Domains“. Passt.

Der Account für die Seite www.soloairesmaduro.com ist suspendiert und der Trojaner kann nicht mehr heruntergeladen werden. Bei den Anderen war er gerade eben noch verfügbar. Bin gespannt, ob sie auf meine E-Mail reagieren.

Es scheint leicht unterschiedliche Varianten des Trojaners zu geben. Größe der gefundenen Dateien: 95232 und 95744 Byte.


Ergänzung: Pressemitteilung NACHA:Fraudulent Emails Appearing to Come from NACHA: Educate Yourself