Er tarnt sich als DHL Paketverfolgung:
----
From: DHL Paketverfolgung <[email protected]>
Subject: DHL-Paket-Lieferung fehlgeschlagen
Reply-To: <DHL Paketverfolgung <[email protected]>>
Sehr geehrter Kunde,
die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist
fehlgeschlagen.
Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich
anzutreffen.
Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten
Lieferungsversuch in Auftrag zu geben.
Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
Mit freundlichen Grüßen,
DHL EXPRESS
Deutsche Post AG
Charles-de-Gaulle-Straße 20
PLZ/ Ort: 53113 Bonn
----
Im Anhang befindet sich eine Sendung_xxx.zip, welche JS-Dateien beinhaltet:
unzip -t Desktop/Sendung_056392024191.zip
Archive: Desktop/Sendung_056392024191.zip
testing: Sendungsetikett_056392024191.pdf.js.js OK
testing: Sendungsinformationen_056392024191.pdf.js.js OK
No errors detected in compressed data of Desktop/Sendung_056392024191.zip.
In den Dateien selbst befindet sich dann der typische, obfuscatete JS-Code.
Einzelne Strings werden zu einem grossen String zusammengebaut. Dann wird der
Windows Scripting Host aufgerufen und der führt das zusammengebaute Skript dann
aus. Dieses Skript lädt die eigentliche Malware nach, welche dann den Rechner
unter Kontrolle bringt.
Windows-Anwender erkennen in der Regel nicht, dass es sich um JS-Dateien
handelt, weil die Defaults des OS das Suffix des Dateinamens unterdrückt.
p@rick
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
