Vor einigen Monaten berichtete ich über eine recht professionell aufgemachte E-Mail-Kampagne mit dem Ziel, eine Schadsoftwareinfektion per Java zu erreichen. In dieser E-Mail wurden einige teils absurde Fehler gemacht, die die Identifikation als Angriff erleichterten. Jetzt kursiert eine Neuauflage, die manche dieser Fehler vermeidet, dafür aber andere macht.
Die aktuelle E-Mail stammt von einer gewissen Caecilia Egger und kommt ebenso wie die frühere Kampagne scheinbar von GLS Italien. Im Gegensatz zum Vorgänger ist dieses Mal die assoziierte Absendeadresse deutlich abweichend: email hidden; JavaScript is required. Das ist ein erster deutlicher Indikator dafür, dass etwas nicht stimmt.
Vermeintliche Bestellung von Caecilia Egger
Das in der Mail abgebildete Dokument, groß genug, um „Order Placement“ zu lesen, nicht aber die bestellten Artikel, führt per Klick zum Download einer ZIP-Datei. Diese liegt auf einem Server mit der Adresse https://pomf.pyonpyon.moe. Dies ist in einiger Hinsicht interessant:
Die Top-Level-Domäne .moe habe ich hier zum ersten Mal gesehen. Wie sich herausstellt, handelt es sich dabei um einen japanischen Slangausdruck aus dem Manga-Bereich. Die Webseite selbst ist ebenfalls auf Japanisch, die Subdomäne zeigt auf einen Dateidrop-Dienst, dient also wohl dazu, Dateien zur Verteilung freizugeben. Vermutlich ist der Dienst an sich ebenso legitim wie WeTransfer etc. und wird hier nur missbraucht.
Die Seite ist über https: erreichbar, was mittlerweile kein Grund mehr dafür ist, einer Seite zu vertrauen. Da die notwendigen SSL-Zertifikate mittlerweile kostenlos erhältlich sind, sagt die Verbindung über das verschlüsselte https-Protokoll lediglich aus, dass die Verbindung nicht durch Dritte mitgelesen werden kann. Ob am anderen Ende ein Betrüger sitzt, kann man auf diese Weise nicht feststellen, die Behauptung, die Seite sei sicher, die Browser mittlerweile einblenden, kann also leicht missverstanden werden.
Leider war die Datei nicht mehr verfügbar, so dass ich sie nicht näher analysieren konnte. Bei der früheren Kampagne enthielt sie eine Java-JAR-Datei, die bei installiertem Java durch Doppelklick zu einer Infektion des Systems geführt hätte.
In der Caecilia-Egger-Mail ist zumindest die verwendete Adresse italienisch, auch die Telefonnummer ist eine italienische. Damit werden entscheidende Fehler der früheren Kampagne hier nicht wiederholt, die eine polnische Adresse und eine saudische Telefonnummer enthielt.
