SPAM: LinkedIn Invitaion

In diesem Artikel folge ich einer Verweiskette auf kompromittierte Server zu den Ursprüngen. Und analysiere die ersten Schritte eines verschleierten JavaScript, mit dem wahrscheinlich der Angriff erfolgt.

Screen Shot LinkedIn Invitation
Hi .. , User sent you an invitation to connect 6 days ago. How would you like to respond?

In den letzten 24 Stunden habe ich zwei Mails mit LinkedIn Einladungen erhalten. Eine hatte den Titel Invitation, die andere New Invitation. SPAM oder HAM war keine Frage, da die Mails an eine Mailinator-Adresse gingen, an die ausschließlich SPAM gesendet wird. Die Links in dem Mails verwiesen auf insgesamt vier kompromittierte Server.

Die Mail hat keine Anhänge, wenn ich vom HTML-Teil absehe. Alle Links in der Mail verschleiern ihr wahres Ziel und haben die Form http://xyz.example.com/YHgGL6/index.html. [1] Der Payload dieser Spam-Mail muss also außerhalb der Mail liegen. Diese Adressen sind nicht das eigentliche Ziel, wie ein kurzer Test zeigt. Sie führen nur eine Stufe näher an die Schadsoftware. Steigen wir in diesem Artikel ein paar Stufen mit – hinauf oder hinunter ist egal.
„SPAM: LinkedIn Invitaion“ weiterlesen

  1. [1]Den wirklichen Name der Server habe ich diesmal durch xyz.example.com ersetzt. Dabei treten auch IP-Adressen auf, für die ich beispielhaft die Adresse 192.168.6.66 genommen habe.