Bewerbungs-Spam

Es hat einige Tage gebraucht, bis ich endlich auch mal eine Mail bekommen habe, die sich als Bewerbung ausgibt aber als Anlage natürlich wieder nichts als Schadcode enthält.

Die böse Mail

In Outlook wird die Mail erst einmal ganz normal angezeigt. Der Absender scheint sogar komplett auf HTML oder andere Dinge zu verzichten. Schließlich will er ja möglichst nicht schon beim Spamfilter wegen HTML-Regeln auffallen. Für mich war es einfach, diese Mail als "Schadcode" zu erkennen, da ich unter "carius.de" keine freie Stelle ausgeschrieben habe.

Insofern ist die Mail eher "unpersonalisiert". Ich würde es aber mal nicht ausschließen, dass es zukünftig Spammer gibt, die gezielt die Stellenanzeigen in Zeitungen oder Internet auswerten um auch die Zielpersonen genau anzusprechen und vielleicht noch die Stellenkennzeichnung verwenden. Hauptsache der Empfänger fällt drauf rein.

Leider veröffentlicht die Domain "T-Online" keine SPF oder Sender-ID, DKIM oder DMARC-Records. Insofern kann niemand solche Mails mit gefälschten Domains direkt ablehnen. Da sollte T-Online langsam mal aktiv werden.

Mittlerweile habe ich mehrere dieser Nachrichten bekommen. Der "Name" der Person variiert und die vorgebliche Absenderdomäne ist immer T-Online.de. Leider ist unser rosa Riese hier etwas rückständig: http://postmaster.t-online.de/#t3.5. Allerdings hatten alle Bilder das gleiche "jpg" als Anlage, so dass Spamfilter hier relativ leichtes Spiel haben.

Das Bild

An dieser Mail war sogar ein Bild mit 1124x1000 Pixel Auflösung angehängt. Ich gehe natürlich davon aus, dass dieser Kopf nicht zum Absender gehört. Aber damit der echte Mensch nicht einfach erkannt wird, habe ich das Bild verpixelt.

Eine Suche mit der Google Rückwärtssuche hat leider keinen Treffer erbracht und in den Meta-Daten des Bilds gibt es auch keinerlei Informationen über Kameramodell, GPS-Position o.ä.

Die Anlage

Interessanter ist natürlich die Anlage, in der ich den Schadcode erwarte. Der Absender hat hier natürlich etwas geschludert, denn ein 3kb großes ZIP-Archiv ist doch sehr überschaubar, wenn es sich tatsächlich um eine Bewerbung handeln sollte. Und wie nicht anders zu erwarten enthält das Archiv zwei JS-Dateien.

Hinweis:
Einige Spammer legen ihren Schadcode auch auf eine Seite wie Dropbox, OneDrive o.ä. ab und senden nur den Link zu den "weiterführenden" Dokumenten. Ein Spamfilter kann dann natürlich keine Analyse der Anlage machen. Auch hier gilt Vorsicht ist besser als Nachsicht

Solange man die Programme nicht ausführt, besteht keine Gefahr. Selbst das Auspacken ist erlaubt. Nur muss man dann genau aufpassen, dass man nicht durch einen Doppelklick den Code aktiviert. Ich habe den Code daher einfach in Notepad angeschaut. aber etwas "verkürzt"

Auch ohne allzu viel "JavaScript" zu können, sehen Sie hier erst einmal, wie eine Variable "VK0UCUw1u" mit einer Zeichenfolge angefüllt wird (rot). Weiter hinten wird dieser Zeichencode dann mit einem regulären Ausdruck von Zeilenumbrüchen befreit und am Ende (grün). wird der Zeichencode konvertiert und letztlich als "Funktion" ausgeführt (blau). Bei der Umwandlung kommen noch Werte zum Einsatz, die die Decodierung etwas dynamisch machen. So kann der Sender für jeden Empfänger einen individuellen Code anhängen, der kaum durch "Ähnlichkeit" zu erkennen ist.

Der Entwickler hat sich also schon etwas Mühe gegeben, den Code zu verstecken. Wer mutig ist, kann aber auch einfach den letzten blauen Aufruf entfernen und stattdessen den Wert der Variable "MZ4g3BVI_o" ausgeben lassen. Sie sind dennoch gut beraten, diese in eine abgesperrten Testumgebung zu analysieren. Ich habe das mal gemacht und der entschlüsselte Code ist auch mit den nicht sprechenden Variablennamen durchaus verständlich

Den Code habe ich natürlich nicht weiter ausgeführt aber die URL ist nicht weiter verschlüsselt und wird wohl als "exe" nach %temp% geschrieben und zur Ausführung zurück übergeben. Da kann ich die EXE aber ja mal ungefährlich holen. Um eine versehentliche Ausführung zu verhindern habe ich die Extension natürlich auch geändert. Im Notepad ist anhand dem "MZ"-Start dann die EXE mit dem eigentlichen Schadcode zu erkennen.

Der "Ablageplatz"

Im Skript ist die IP-Adresse des "Schadware-Lieferanten" natürlich klar sichtbar und danke RIPE ( https://apps.db.ripe.net/search/query.html?searchtext=95.213.192.89#resultsAnchor ) ist schnell ermittelt, dass die EXE von einem Server in Russland kommt. Per Reverse-DNS ist er natürlich nicht auflösbar aber die Abuse-Adresse gehört zu Selectel. (https://selectel.com/). Also auch wieder ein Hosting-Provider, der vermutlich auch wieder nur den Platz bereit stellt. Gehen wir mal einfach davon aus, dass der Hoster nichts davon weiß. Ein Zugriff auf http://95.213.192.89 liefert einfach eine "Apache 2 Default Page"

Es ist für Hoster sicher nicht einfach solchen Missbrauch zu erkennen. Aber ob ein JPG-File auch wirklich ein Bild ist, könnte ein Hoster ja schon mal prüfen und entsprechend erkennen und verhindern. Ich bin nämlich sehr sicher, dass der "Besteller" sicher keine gültigen Adressen und Bankdaten angegeben hat. Insofern sollten auch Hoster in Interesse daran haben, solche "Kunden" loszuwerden.

Der Weg der Mail

Interessant ist auch immer ein Blick auf den Mailheader. Ein Teil davon kann gefälscht sein, aber die letzten Stationen sind durch den Absender nicht mehr zu verändern. Die relevanten Zeilen im Header sind

Return-Path: <nikolas.stein@t-online.de>
Received: from c4server.c4-logistics.local ([91.109.3.92]) by
  mx.emig.kundenserver.de (mxeue104) with ESMTP (Nemesis) id
  0M2Ib6-1bONOM2cTs-00s7Nf for <frank@carius.de>; Wed, 01 Jun 2016 14:09:26+0200
Received: from c4server.domain ([91.109.3.92])
  by c4server.c4-logistics.local with Microsoft SMTPSVC(8.5.9600.16384);
Wed, 1 Jun 2016 13:09:17 +0100
Message-ID: <ae53a84b3e0f4d7a6cb371e720a59acb@t-online.de>
Date: Wed, 01 Jun 2016 14:09:17 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="e1dfc4fe9192dacfb1b5fb5900050051"
X-OriginalArrivalTime: 01 Jun 2016 12:09:17.0784 (UTC) FILETIME=[6BF63580:01D1BBFE]
Subject: [SPAM?] Bewerbung

Die oberste "Received"-Zeile ist auch die einzige interessante Zeile hier und besagt, dass die IP-Adresse 91.109.3.92 das einliefernde System war. Ob es wirklich ein "Microsoft SMTPSVC(8.5.9600.16384)" war, ist nicht sicher. Aber es ist auch zu sehen, dass der Server selbst die Mails nicht von einer anderen IP-Adresse erhalten hat. Ich nehme daher an, dass die Mail auf diesem Server erstellt und versendet wurde. Ich habe einfach mal einen "TELNET 91.109.3.92 25" gemacht und tatsächlich meldet sich ein Windows SMTP-Service. Ein Versuch hierüber eine Mail als "Open Relay" zu senden war zumindest von meiner IP nicht möglich.

Ich gehe also davon aus, dass dies kein "offenes Relay" ist, sondern dieser vermutlich virtuelle Windows Server vom Spammer gezielt aufgesetzt oder angemietet wurde. Die IP-Adresse 91.109.3.92 löst laut RIPE auf einen Netzwerk "UK-WEBFUSION-LEEDS " auf, dessen Abuse-Kontakt zur Firma https://www.heartinternet.uk/ gehört.

Die IP-Adresse wird per Revere DNS auf 963642.vps-10.com aufgelöst. bei 10 Britischen Pfund pro Monat geht es los. Ich vermute mal, dass der Name "c4-logistics" auch nur der Verschleierung dient und das ähnlich klingende Logistikunternehmen damit nichts zu tun hat.

Weitere Links