SPAM: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100

Und noch eine Mail aus der Kategorie ZIP-Anhang mit Trojaner.

Auffällig ist, dass eine die Reservierung für ein Datum in der Vergangenheit erfolgt. Aber wer liest schon so eine Mail im Detail. Selbst wenn ich heute ein Zimmer reserviert hätte, gäbe es kaum einen Grund den Anhang zu öffnen.

From: „hotel.de“ &lt>Confirmations@hotel.de>
To: <thomas@t-arend.de>
Date: Mon, 22 Oct 2012 12:50:46 +0100
Subject: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100
Attachment: Reservierung-Hotel-BuchungsnummerM22942359.zip
Reservierung
Buchungsnummer: 3H6768378
Buchungsdatum: Mon, 22 Oct 2012 12:50:46 +0100

Mehr Details in der beigefugten Datei   
Hotelname: Brenner’s Park-Hotel & Spa
Straße: Turracherhohe 325
PLZ/Ort: 8864 Turracherhohe (Osterreich)

Fax: +43/4275/2675670

Anreise: 09.10.2012 Anzahl Nächte: 1
Abreise: 10.10.2012 Gesamtanzahl Personen: 1
Preis: 53,05 EUR
Der Gesamtpreis beinhaltet 3,30 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Bankkarte gesichert.
——————————————————————————–
Mit freundlichen grüßen Ihr hotel.de/hotelinfo-Teamhotel.de AG – www.hotel.de – www.hotel.info
Aufsichtsratsvorsitzender: Tobias Ragge
HRB 22864, Amtsgericht Nurnberg

Anmerkung: Zur besseren Darstellung habe ich die überreichlichen vorhandenen Tabulatoren aus dem Textteil der Mail entfernt und die Zeilenumbrüche etwas geändert.

SPAM: Blackhole – Google Service has sent you a message: Welcome to the TOP of YouTube Users Rating

Ganz bestimmt nicht! Nicht an diese Adresse! Diese Mail Adresse ist auf Verdacht erzeugt. Diese Adresse wurde geraten.

Google Service has sent you a message: Welcome to the TOP of YouTube Users Rating
Google Service has sent you a message: Welcome to the TOP of YouTube Users Rating

Die Spam Mail gehört dem ersten Anschein nach zum gleichen Typus wie die angebliche LinkedIn Invitation, hinter der das Blackhole Exploit Kit steht, wie ich seit gestern weiß.

Während die erste Stufe der Umleitung noch funktioniert, meldet der nächste Server Fehler 504: Gateway Time-Out. Dies kann bei anderen Mail anders sein.

Schade, ich hatte gehofft, noch eine Stufe weiter zu kommen. Abwarten, es kommen sicher noch mehr.

SPAM: LinkedIn Invitaion

In diesem Artikel folge ich einer Verweiskette auf kompromittierte Server zu den Ursprüngen. Und analysiere die ersten Schritte eines verschleierten JavaScript, mit dem wahrscheinlich der Angriff erfolgt.

Screen Shot LinkedIn Invitation
Hi .. , User sent you an invitation to connect 6 days ago. How would you like to respond?

In den letzten 24 Stunden habe ich zwei Mails mit LinkedIn Einladungen erhalten. Eine hatte den Titel Invitation, die andere New Invitation. SPAM oder HAM war keine Frage, da die Mails an eine Mailinator-Adresse gingen, an die ausschließlich SPAM gesendet wird. Die Links in dem Mails verwiesen auf insgesamt vier kompromittierte Server.

Die Mail hat keine Anhänge, wenn ich vom HTML-Teil absehe. Alle Links in der Mail verschleiern ihr wahres Ziel und haben die Form http://xyz.example.com/YHgGL6/index.html. [1] Der Payload dieser Spam-Mail muss also außerhalb der Mail liegen. Diese Adressen sind nicht das eigentliche Ziel, wie ein kurzer Test zeigt. Sie führen nur eine Stufe näher an die Schadsoftware. Steigen wir in diesem Artikel ein paar Stufen mit – hinauf oder hinunter ist egal.
„SPAM: LinkedIn Invitaion“ weiterlesen

  1. [1]Den wirklichen Name der Server habe ich diesmal durch xyz.example.com ersetzt. Dabei treten auch IP-Adressen auf, für die ich beispielhaft die Adresse 192.168.6.66 genommen habe.

Trojaner mit Garantie

„Sicherer wäre es, einen solchen Trojaner auf dem Schwarzmarkt für 3000 Euro zu kaufen“, sagte ein Antiviren-Spezialist scherzhaft. „Die verstehen wenigstens ihr Geschäft, und man bekommt auch noch Garantie auf die Leistung.“

Ich bezweifle, dass es ein Scherz ist.


Quelle: www.heise.de: Staatstrojaner-Hersteller Digitask: Entwickler für besondere Aufgaben; 11.10.2011