SPAM: LinkedIn Invitaion

In diesem Artikel folge ich einer Verweiskette auf kompromittierte Server zu den Ursprüngen. Und analysiere die ersten Schritte eines verschleierten JavaScript, mit dem wahrscheinlich der Angriff erfolgt.

Screen Shot LinkedIn Invitation
Hi .. , User sent you an invitation to connect 6 days ago. How would you like to respond?

In den letzten 24 Stunden habe ich zwei Mails mit LinkedIn Einladungen erhalten. Eine hatte den Titel Invitation, die andere New Invitation. SPAM oder HAM war keine Frage, da die Mails an eine Mailinator-Adresse gingen, an die ausschließlich SPAM gesendet wird. Die Links in dem Mails verwiesen auf insgesamt vier kompromittierte Server.

Die Mail hat keine Anhänge, wenn ich vom HTML-Teil absehe. Alle Links in der Mail verschleiern ihr wahres Ziel und haben die Form http://xyz.example.com/YHgGL6/index.html. [1] Der Payload dieser Spam-Mail muss also außerhalb der Mail liegen. Diese Adressen sind nicht das eigentliche Ziel, wie ein kurzer Test zeigt. Sie führen nur eine Stufe näher an die Schadsoftware. Steigen wir in diesem Artikel ein paar Stufen mit – hinauf oder hinunter ist egal.
„SPAM: LinkedIn Invitaion“ weiterlesen

  1. [1]Den wirklichen Name der Server habe ich diesmal durch xyz.example.com ersetzt. Dabei treten auch IP-Adressen auf, für die ich beispielhaft die Adresse 192.168.6.66 genommen habe.

ACH transfer error

Spam Mail ACH transfer error
ACH transfer error
Heute flatterte wieder so eine NACHA fraud Mail in mein Postfach. Wie an der Statuszeile links unter unschwer erkennbar, handelt es sich bei dem angeblichen PDF-Dokument um eine HTML-Seite. Diese lädt von drei verschiedenen Server ein und das selbe JavaScript nach (doppelt hält besser und dreifach noch mehr, es müssen also drei Server gesäubert werden, um das System lahm zu legen), dass wiederum von einem vierten Server eine Seite mit obfuscated JavaScript code nach lädt. Was das letzte Script bewirkt, habe ich noch nicht ausprobiert. Ich würde es auch nur in einer virtuellen Maschine tun, die ich anschließend in Nirwana schicke. Aber heute will ich noch zum Sport.

Siehe auch:

  1. NACHA Alert Trojaner
  2. Update: NACHA Alert

LinkedIn

Immer wieder schreiben mich nette Damen per E-Mail über LinkedIn an, um mit mir Kontakt aufzunehmen. Nur blöde, dass die Mails als SPAM erkannt werden. Worin der Sinn dieser Versuche besteht, war mir bisher nicht ganz einsichtig. Der Aufbau der Mail ist recht trivial. Der Kern besteht aus einem angeblichen Link, der oft folgende Form hat:
<a href=“http://excample.com/~abcd/abcd.html“>http://www.linkedin.com/nus-trk?trkact=viewMemberProfile&pk=member-home&poster=123456789</a>

Anmerkung: Nur was hinter href steht bestimmt, wohin die Reise geht. Was in der Seite angezeigt wird, ist Einerlei.

In einigen Fällen gab es die Datei hinter dem Link. Eine war nur 156 Byte groß und enthielt eine schlichte Umleitung auf eine weitere Seite. Der hier hinter stehende Server war zwar vorhanden, lieferte aber auch nach geraumer Zeit keine Antwort. Im zweiten Fall war die Umleitung etwas aufwändiger (ein paar Zeilen mehr) und es ging direkt um den Kauf von Viagra. Wer JavaScript aktiviert hat, der kommt in den Genuss der automatischen Umleitung und sieht diese Seite nicht. Für diejenigen mit deaktiviertem JavaScript gibt es einen Link zum Weiterkommen. 😉

Die Domain war in Russland registriert, aber es gab keine IP-Adresse mehr zum Namen. Mädels, so wird das nichts mit uns. (Ein WHOIS Eintrag muss nicht unbedingt stimmen.)

Die IP-Adresse von gofrisso.com wechselte während der Prüfung von 31.210.120.75 auf 91.226.78.139 und wieder zurück. Eine Analyse bei McAfee zeigt, dass diese Adresse nicht unbekannt ist. Ein Verweis auf Spamtrackers führt zu einer umfangreichen, wenn auch nicht ganz neuen Analyse.

Genug für heute! Wer mehr wissen will, lese bei SpamTrackers weiter.

Ach ja: Wer bei diesen Apotheken bestellt, sollte sich nicht wundern, wenn er nichts geliefert bekommt oder nur Placebos erhält.