Fake E-Mail mit dem Betreff „Ihre Rechnung gl2246 findet sich im Anhang“ (cab Datei)
Autor: Tom Wannenmacher
Wir brauchen deine Hilfe – Unterstütze uns!
In einer Welt, die zunehmend von Fehlinformationen und Fake News überflutet wird, setzen wir bei Mimikama uns jeden Tag dafür ein, dir verlässliche und geprüfte Informationen zu bieten. Unser Engagement im Kampf gegen Desinformation bedeutet, dass wir ständig aufklären und informieren müssen, was natürlich auch Kosten verursacht.
Deine Unterstützung ist jetzt wichtiger denn je.
Wenn du den Wert unserer Arbeit erkennst und die Bedeutung einer gut informierten Gesellschaft für die Demokratie schätzt, bitten wir dich, über eine finanzielle Unterstützung nachzudenken.
Schon kleine Beiträge können einen großen Unterschied machen und helfen uns, unsere Unabhängigkeit zu bewahren und unsere Mission fortzusetzen.
So kannst du helfen!
PayPal: Für schnelle und einfache Online-Zahlungen.
Steady: für regelmäßige Unterstützung.
Wieder einmal wurden wir in der Mimikama-Redaktion auf eine E-Mail aufmerksam gemacht, die einen gefährlichen E-Mailanhang mit sich führt.
So sieht die E-Mail aus:
Auf den ersten Blick interessant ist, dass die E-Mail mit dem Namen „Peter-Frank Petri“ und der Telefonnummer „+49 9141 8279 347“ gezeichnet ist. Wir brauchen sicher nicht erwähnen, dass unter dieser Nummer niemand erreichbar ist (Testanruf durch die Redaktion).
Die Absender-Domain ist bei einem deutschen Hoster aus Köln gehostet. Der Internetauftritt hinter dieser Domain ist ein ganz Einfacher von Hobbyisten aus Duisburg. Hier firmiert der Domaininhaber offen mit seinem Namen, so man davon ausgehen kann, dass diese Domain gespooft wird. Sprich: Ein Rückschluss auf den eigentlichen Versender kann mir hier bedauerlicherweise nicht ziehen.
Der E-Mailanhang kommt als gepacktes Verzeichnis mit der Dateinamenserweiterung „.cab“. Hierbei handelt es sich um ein Dateiformat, welches in der Hauptsache bei Installern, selten bis gar nicht allerdings von Firmen, oder Privatpersonen verwendet wird. Dieses Format verhält sich ähnlich wie die bekannteren Archiv-Formate wie „.zip“, oder „.rar“.
Extrahiert man das Archiv erhält man die angebliche Rechnung als ausführbare „.EXE“-Datei mit dem Titel:
„bill_01_07_2014_A43EEEF4C.EXE“
Führt der ahnungslose User diese Datei nun mit einem Doppelklick aus, so sollte bereits jede Antiviren-Software diese Bedrohung erkennen und zur Bereinigung anbieten.
Wie man im Screenshot bereits sehen kann, handelt es sich hier um den Trojaner „TR/Cabhot.A.3“. Dieser frisst sich, sollte er nicht umgehend durch die Anitviren-Software entfernt werden in die Systemdateien, die Registry und in die Netzwerkkommunikation. Was er dort anschließend genau macht, konnten wir an dieser Stelle nicht genau ausmachen.
Wir haben unsere Anitviren-Software ausgeschaltet und die Datei dennoch extrahiert:
Klickt man die Datei bei ausgeschalteter AV-Stoftware doppelt an, so wird dem User mitgeteilt, dass diese Datei beschädigt sei.
Das macht an dieser Stelle auch Sinn, denn die Datei soll ja nichts anderes tun, als das System mit dem Trojaner zu infizieren. Nachdem wir die Datei angeklickt hatten, konnten wir eine ca. 30 prozentige Zunahme an Festplatten und Netzwerkaktivitäten feststellen, die keinen bekannten, oder gestarteten Prozessen zugeordnet hätte werden können.
UPDATE 2.8.2014!
Erneut werden solche Mails versendet:
Fazit:
Hier handelt es sich ziemlich sicher um einen sehr gefährlichen Virus, der nach der Installation umgehend seine Arbeit aufnimmt. Empfänger dieser E-Mail sollten diese NICHT ÖFFNEN UND SOFORT LÖSCHEN!
ZDDK-Gastredakteur Andreas Homburg
Andreas Homburg, 44 Jahre, verheiratet, 2 Kinder. Seit mehreren Jahren als Administrator unter anderem für SIEMENS und STRATO tätig. Schwerpunkte sind die Serveradministration und Betriebssystemreparatur.
Andreas Homburg, 44 Jahre, verheiratet, 2 Kinder. Seit mehreren Jahren als Administrator unter anderem für SIEMENS und STRATO tätig. Schwerpunkte sind die Serveradministration und Betriebssystemreparatur.FAKE NEWS BEKÄMPFEN
Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!
Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️
Mimikama-Webshop
Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.
Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.
Link: Mimikamas WhatsApp-Kanal
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)
Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum
INSERT_STEADY_CHECKOUT_HERE
Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama
Mehr von Mimikama
Mimikama Workshops & Vorträge: Stark gegen Fake News!
Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.