Druckversion des Themas

Geschrieben von: markus17 25.01.2014, 19:46

Heute habe ich einen dreisten Betrugsfall mitbekommen...

Bekannte von mir betreiben ein kleines Appartement. Mitte Dezember haben sie eine Buchungsanfrage (in englischer Sprache) über ein bekanntes Online-Portal erhalten, bei dem sie registriert sind. Nach einem kurzen Mailwechsel kam die Buchung zu Stande und der angebliche Gast sollte seine Anzahlung leisten. Diese hat er in einem E-Mail mit Anhang kurz darauf bestätigt.

Da die Anzahlung bisher nicht auf dem Konto eingegangen ist, hat meine Bekannte heute noch mal das genannte E-Mail geöffnet und wollte sich den Anhang ansehen. Sie hat diesen zum Glück nicht geöffnet - es befand sich eine paymentproof.zip darin, die wiederum eine paymentproof.exe beinhaltete.

Erkennung: 17/49
https://www.virustotal.com/de/file/2d50c46788d9628f82f3a14cdf2f7c1af86de5a3c44a07e35388e86f62ce0d71/analysis/
Es fällt auf, dass einige namhafte Unternehmen fehlen, obwohl das Sample bereits einen Monat alt ist. Damals hat es scheinbar schon jemand gescannt, da mir vtotal eine Analyse mit 3/49 Scannern vorgeschlagen hat. (hab sie leider zu schnell weg geklickt) G Data erkennt das Sample nicht per Signatur (nutzt ja keine Avast-Engine mehr), aber der BB kann eine Infektion verhindern.

Lässt man testweise das Sample am System aktiv werden, passiert nicht viel. Es versucht sich laufend auf einen externen Server zu verbinden, der wahrscheinlich nicht mehr aktiv ist. Auszug aus Procmon:
- Win7-PC.home:49433 -> server-91-233-116-104.creanova.org:3360 ...
- ...Win7-PC.home:49442 -> server-91-233-116-104.creanova.org:3360
-> Es handelt sich immer um die selbe IP, jedoch wird immer ein neuer Port versucht.

Ich muss schon sagen, das das ein sehr dreister Betrugsversuch ist und viele werden darauf hinein fallen. Wer etwas mitdenkt, wird bereits beim Namen des Anhangs paymentproof.zip stutzig, aber da man ja auf eine Zahlungsbestätigung wartet, denken viele sicher nicht an einen Betrugsversuch.