Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Fake-Buchung aus dem Urlaubsportal, nachfolgende Zahlungsbestätigung per Mail inkl. Malware
markus17
Beitrag 25.01.2014, 19:46
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.051
Mitglied seit: 15.10.2006
Mitglieds-Nr.: 5.448

Betriebssystem:
Win7 Prof. x64
Virenscanner:
GDATA TP 20xx
Firewall:
GDATA TP 20xx



Heute habe ich einen dreisten Betrugsfall mitbekommen...

Bekannte von mir betreiben ein kleines Appartement. Mitte Dezember haben sie eine Buchungsanfrage (in englischer Sprache) über ein bekanntes Online-Portal erhalten, bei dem sie registriert sind. Nach einem kurzen Mailwechsel kam die Buchung zu Stande und der angebliche Gast sollte seine Anzahlung leisten. Diese hat er in einem E-Mail mit Anhang kurz darauf bestätigt.

Da die Anzahlung bisher nicht auf dem Konto eingegangen ist, hat meine Bekannte heute noch mal das genannte E-Mail geöffnet und wollte sich den Anhang ansehen. Sie hat diesen zum Glück nicht geöffnet - es befand sich eine paymentproof.zip darin, die wiederum eine paymentproof.exe beinhaltete.

Erkennung: 17/49
https://www.virustotal.com/de/file/2d50c467...e0d71/analysis/
Es fällt auf, dass einige namhafte Unternehmen fehlen, obwohl das Sample bereits einen Monat alt ist. Damals hat es scheinbar schon jemand gescannt, da mir vtotal eine Analyse mit 3/49 Scannern vorgeschlagen hat. (hab sie leider zu schnell weg geklickt) G Data erkennt das Sample nicht per Signatur (nutzt ja keine Avast-Engine mehr), aber der BB kann eine Infektion verhindern.

Lässt man testweise das Sample am System aktiv werden, passiert nicht viel. Es versucht sich laufend auf einen externen Server zu verbinden, der wahrscheinlich nicht mehr aktiv ist. Auszug aus Procmon:
- Win7-PC.home:49433 -> server-91-233-116-104.creanova.org:3360 ...
- ...Win7-PC.home:49442 -> server-91-233-116-104.creanova.org:3360
-> Es handelt sich immer um die selbe IP, jedoch wird immer ein neuer Port versucht.

Ich muss schon sagen, das das ein sehr dreister Betrugsversuch ist und viele werden darauf hinein fallen. Wer etwas mitdenkt, wird bereits beim Namen des Anhangs paymentproof.zip stutzig, aber da man ja auf eine Zahlungsbestätigung wartet, denken viele sicher nicht an einen Betrugsversuch.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 15:22
Impressum