Beschreibung der aktuellen Spam-Welle mit Schadecode

Hallo Steemians!

Nachdem ich in den letzten Tagen mehrere E-Mails bekommen habe, die angeblich von der Fa. Girosolution GmbH kommen, möchte ich Euch über die anscheinend aktuellste Betrugsmasche informieren. Das Grundmuster ist allerdings nicht wirklich neu, deshalb bietet es sich an, anhand dieser Nachricht einmal zu zeigen, wie ein versuchter Angriff aussieht.

Der Nachrichtentext der E-Mail lautet:

Sehr geehrte(r) Vorname Name,

bedauerlicherweise konnte Ihre Zahlung an Girosolution GmbH nicht verbucht werden.

Gespeicherte Datan:

Vorname Name
Straße
PLZ und Ort
Tel. Festnetz-Nummer

Die ausstehende gesamte Überweisung erwarten wir bis zum 15.11.2018. Können wird bis zum genannten Termin keine Überweisung verbuchen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten gehen zu Ihrer Last.

Um zusätzliche Mahnkosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen, die entstandene Gebühren von 24,56 Euro zu bezahlen.

Berücksichtigt wurden alle Zahlungseingänge bis zum 08.11.2018.
Ihre persönliche Kostenaufstellung liegt dieser E-Mail bei.

Bitte beachten Sie, dass Ihre Rechnung nur dann beglichen ist, wenn Ihre Zahlung auf unser Bankkonto erfolgt.

Mit freundlichen Grüßen

Girosolution GmbH
02763 Zittau
USt-Id Nr.: DE 706599337
Sitz der Gesellschaft: Zittau

Der Mailtext klingt - vom Rechtschreibfehler in der dritten Zeile der Nachricht ("Gespeicherte Datan") - recht authentisch.

Woran kann nun trotzdem erkannt werden, dass die Nachricht wohl keine echte Mahnung ist?

1. Die Nachricht kommt von einer anderen Domain ([email protected]), die nichts mit dem angeblichen Absender zu tun hat.
2. Die Nachricht erzeugt einen Handlungsdruck, der dazu verleiten soll, den Anhang schnell zu öffnen, um Einzelheiten zu erfahren und ggf. die Zahlung zu leisten, um damit einem drohenden Gerichtsverfahren zu entgehen.
3. Die Fa. Girosolution GmbH existiert - allerdings nicht in Zittau, sondern im 700 km entfernten Frickingen in der Nähe des Bodensees.
4. Wenn man das angehängte ZIP-Archiv bei virustotal hochlädt, melden 7 von 60 Virenscannern eine Warnung. Das heißt aber, dass 53 von 60 Virenscanner keine Warnung ausgeben!
5. Das angehängte ZIP-Archiv enthält wiederum ein ZIP-Archiv. Dafür gibt es keinen legitimen Grund. Für Kriminelle ist es allerdings eine Möglichkeit, der Analyse durch einen Virenscanner zu entgehen, da viele Virenscanner nur das äußere Archiv entpacken und dann das darin befindliche Archiv nicht mehr entpacken, sondern ignorieren.
   Das innere Archiv erzeugt bei 24 von 61 Virenscannern eine Warnung. (Warum diesmal 61 Scanner zum Einsatz gekommen sind, weiß ich nicht.) Zwei Tage nach dem Erhalt der ersten Mail erkennt nicht einmal die Hälfte der Virenscanner die Gefahr!
6. Das "innere" Archiv enthält eine Datei mit der Dateiendung ".com". Diese Dateiendung ist für Kenner sehr auffällig, denn sie kennzeichnet eine MS-DOS Commanddatei, die heutzutage nicht mehr verwendet wird. Für den Laien ist sie aber nicht so auffällig wie eine .exe-Datei, bei der potentielle Opfer vielleicht eher stutzig werden würden.

Da die schädliche Datei mit einem Komprimierungsprogramm bearbeitet wurde, kann man sie in diesem Zustand nicht analysieren. Die einzige Möglichkeit bestünde darin, nur die Routine zum Entpacken des Schadprogramms aufzurufen und den anschließenden Start des entpackten Programms zu unterbinden.

Das war mir (bisher) zu aufwändig. ;-)