Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Spam: tegen mijn auto aangereden

27-01-2016, 12:55 door Erik van Straten, 18 reacties
Van: Theo <achternaam> <theo.<redacted>@ziggo.nl>
Datum: dinsdag 26 januari 2016 14:24
Aan: <ontvanger>
Onderwerp: Schade vergoeden!

Goededag,

U bent tegen mijn auto aangereden, waardoor ik nu een paar lelijke krassen op mijn auto heb.
De buurvrouw heeft het zien gebeuren. Daarna bent u doorgereden.
De schade zal een paar honderd euro bedragen. Ik wil dat u dit gaat betalen, of ik haal de politie erbij.

Zie mijn schadeclaim
dropbox/nl-nl/user/theo.<achternaam>@ziggo.nl/downloads/SchadeformulierA26.doc/

met groet,
Theo <achternaam>
Nb. hierboven heb ik de achtenaam van de -schijnbare- afzender vervangen door <achternaam>, en de werkelijke ontvanger door <ontvanger>.

Onder de link zit de volgende URL: hxxp://gtafive.ml/zSDBe (http vervangen door hxxp)
Als je die opent, vindt een redirect plaats naar:
hxxp://pensionhouse.kr/House/data/theme/Schadeformulier_A2600011147.doc.zip
Bij download met firefox kreeg ik tot 4x toe een te korte file (afgebroken).
Met MSIE eerst ook, maar ik kon op "Resume" drukken waarna wel de volledige file werd gedownload.

Die zipfile bevat "Schadeformulier_A26000121792431147.doc.exe" met een Adobe Reader icoontje. Als het tonen van bestandsextensies uitstaat (default in Windows) ziet de gebruiker natuurlijk "Schadeformulier_A26000121792431147.doc". Het lijkt hierbij te gaan om CryptoWall ransomware.

Gisteren (2016-01-26 16:19:22 UTC) detecteerden 10 van 53 scanners hier malware in, zie https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453825162/.

Zojuist (2016-01-27 11:25:05 UTC) waren dat er 28 / 54, zie https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453893905/.

Voor de actuele status kun je klikken op https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/.

Er zijn meer van dit soort malwareexemplaren in omloop, bijv. Schadeformulier_A26022448480757.doc.zip (30 / 54, zie https://www.virustotal.com/en/file/1e71ba832dd3e69cb49ed400eac2cf85390a6e38f388ba6f74b7071d563b2f8d/analysis/1453885589/).

Voor de pensionhous.kr URL zie https://www.virustotal.com/en/url/744f33de19960740d23a52080bebded02138015917e74f711368b902bbb5c564/analysis/ (momenteel 3 / 66).

P.S. ik post dit hier omdat ik via Google nog niets over dit type spam kon vinden, hierna kunnen anderen dat wel. Overigens vind ik deze spam wel heel agressief (met name door een bestaand persoon met naam en toenaam te benoemen, die hier hoogstwaarschijnlijk niets mee te maken heeft).
Reacties (18)
27-01-2016, 13:05 door fvandillen - Bijgewerkt: 27-01-2016, 13:07
Interessant, vooral om de gebruikte Nederlandse tekst.

Heb je een vermoeden dat dit massaal verstuurd is of meer een gerichte aanval op jou? Het is hoe dan ook interessant dat Nederlandse gebruikers het doelwit zijn, mocht dit massaal verstuurd zijn.

EDIT: Chrome blokkeert inmiddels al de download vanwege "malicious content".
27-01-2016, 13:06 door Blondie - Bijgewerkt: 27-01-2016, 13:11
Hier op het werk maandag ook gekregen, niet van een Theo maar van een Roel. Was ook een Ziggo-adres. Bij klikken op link werden we idd tegengehouden door virusscanner. Wel echt social engeneering. Totdat je denkt: huh? hoe komt de buurvrouw aan mijn e-mailadres?

Bij ons was het trouwens niet een link naar een schadeformulier, maar een link naar 'Facebook'. Daar zou een foto staan die de 'buurvrouw' als bewijs had gemaakt.

Hallo,
U heeft tegen mijn auto aangezeten, waardoor er krassen op de achterkant van mijn auto zitten.
De buurvrouw heeft het zien gebeuren en heeft een foto gemaakt. En mij uw emailadres heeft gegeven.
Daarna bent u weggereden. De schade loopt op in de honderden euros. U gaat dit betalen, of ik bel alsnog de politie.
Zie fotos
facebook/nl-nl/user/<naam>@ziggo.nl/downloads/IMG00239/
met groet,
Roel <achternaam>
27-01-2016, 13:28 door Briolet
Door Erik van Straten: P.S. ik post dit hier omdat ik via Google nog niets over dit type spam kon vinden,

Toevallig kwam ik dit bericht juist gisteren tegen in mijn krant. http://www.destentor.nl/regio/urk/oplichtersmail-gaat-nu-rond-in-flevoland-1.5660980. Dat had Google dus al eergisteren kunnen vinden, want toen stond het al op de site.

Uit dit artikel maak ik op dat de oplichters heel gericht mensen uit een regio benaderen. Ze moeten dus een koppeling tussen e-mail adres en woonplaats hebben.
27-01-2016, 13:30 door Blondie - Bijgewerkt: 27-01-2016, 13:34
Hier binnengekregen in Noord-Holland. Het Ziggo-email-adres nagetrokken en dat is van iemand uit het zuiden des lands.
27-01-2016, 13:45 door [Account Verwijderd]
[Verwijderd]
27-01-2016, 14:08 door Anoniem
De manier waarop ze proberen je erin te luizen doet me denken aan die e-mail-kettingbrieven die vroeger rond bleven zingen op het internet. Het blonde jochie dat na de kerst-tsunami destijds in een Thais ziekenhuis lag en zogenaamd nog geïdentificeerd moest worden, bijvoorbeeld, stuur het rond aan iedereen die je kent. Dat soort e-mails miste altijd een paar dingen die de reikwijdte begrensden, die ze speficiek maakten, zoals bijvoorbeeld een datum waarop de kettingbrief was gestart zodat je kon zien dat het oud nieuws begon te worden, of de datum waarop een zogenaamde digitale handtekeningenactie zou eindigen.

Wat hier niet specifiek is:
• Geen datum en tijd: weten ze dan niet wanneer ze krassen hebben opgelopen?
• Geen plaats en straat: weten ze dan niet waar het is gebeurd?
• De buurvrouw heeft geen naam of huisnummer: weten ze dan niet met wie ze gepraat hebben?
• Jouw huisadres ontbreekt: ze hadden toch gehoord wie die krassen heeft veroorzaakt?

Dit is zo geformuleerd dat het aan zowat iedereen gericht kan zijn. Dan is de kans groot dat dat ook zo is en dat je een van de velen bent die het ontvangt.

Even op die manier naar een ontvangen e-mail kijken zou een basisvaardigheid moeten zijn, van dezelfde orde als beseffen dat als iets te mooi is om waar te zijn het vermoedelijk ook echt te mooi is om waar te zijn.
27-01-2016, 15:31 door Anoniem
Als iedere ontvanger na zou denken, komen ze met deze actie niet ver:
- heeft de buurvrouw mijn email adres? De mijne niet, die belt wel aan
- als ik zijn buurvrouw zo goed ken, dat ze mijn email adres heeft, waarom belt ze dan niet even zelf? Is vlugger en simpeler
- heb ik mijn email adres op mijn auto staan? Ik niet, hebben meestal alleen bedrijven

Dus, hoe komen ze aan mijn email adres???? Kan ik niet verklaren, dus laat maar. Komt de politie, dan kijken we wel verder. Zeker wanneer ik weet dat nergens tegenaan ben gereden. En dat is iets, dat iedere bestuurder zou moeten weten.
27-01-2016, 16:10 door Anoniem
Ik denk dat je dit gewoon serieus moet nemen en hem als nog contact met de politie laten opnemen, of dit zelf doen natuurlijk. Kijken wie banger moet zijn :)
27-01-2016, 22:07 door Anoniem
Ik zie het probleem niet hoor, kan het bestand gewoon openen met Office, Libre.

MZ?#########??##?#######@###################################?#####?##? ?!?#L?!This program cannot be run in DOS mode.

$#######?o??##??##??##?#.2??##??##??##??##?###?6##?###?p*

Domme reactie?
Kunnen windowspapas voor het ontsleutelen van een en ander en benodigde bitcoins terecht bij ene erik omdat zoonlief zijn gepaste straatje met malwarelinkjes uitproberen?

Deze site kent lezers van jong tot oud, links naar cryptowall ransomare gaan lopen pasten is weinig verantwoordelijk gedrag.
De links naar deze rottige malware zijn helemaal niet nodig voor het punt van attentie dat je wilde maken.
27-01-2016, 22:15 door [Account Verwijderd]
Te doorzichtig. Stuur maar een schadeformulier dan neem ik het op met mijn assuradeur, denk ik dan...keihard!
Pfff. wat een gezwets, Waarom? het is weer (afgezaagd geleuter) 'klik hier'
Als er wordt gedreigd met 'klik zus', 'doe dit', 'wij hebben geconstateerd', 'u heeft dit', etc. etc. negeer je het lichtvaardig.
Dus: Mail weggooien. Telefoon op de haak. Phishing brieven (las ik ergens) bij het oud papier.

Algemeen ten aanzien van Phishing:

Banken en Credit-card verstrekkers moeten ook nog harder inzetten op een andere invulling van het woord PIN.
Niet langer persoonlijk identificatie nummer maar propageren: PIN betekent geheim identificatie nummer, zodat wat labielere mensen denken: "PIN? Dat is geheim , afblijven, is van mij alleen, daar heeft niemand ene sod.....ter mee te maken!"

Verder: Als de politie contact wil bellen ze maar aan. Politie die mij mailt met een bedreiging is Spam. Basta. Geen discussie. Delete die nonsens.

Als iemand geld van je wil en je bent ervan overtuigd dat dit niet het geval kan zijn sturen ze maar een deurwaarder (die nooit komt)

Mail van een luchtvaartmaatschappij, of van een theater die vragen om verificatie van een gereserveerd ticket? Allemaal lul- en zwetskoek!

Iedereen moet er van overtuigd raken dat desperate om geld verlegen sukkels potentiële slachtoffers met hun leuterpraatjes. aan het overvoeren zijn. Deze criminele sector raakt verzadigd; dit verderfelijke tuig kletst en liegt zichzelf langzaam maar gestaag helemaal monddood.
Waarom?
Ze zijn inmiddels met teveel kapers op de kust.

Mijn voorspelling: Alleen een enkele onnozelaar neemt Phishing over een paar jaar nog serieus.
27-01-2016, 22:52 door Anoniem
Door Briolet:
Door Erik van Straten: P.S. ik post dit hier omdat ik via Google nog niets over dit type spam kon vinden,

Toevallig kwam ik dit bericht juist gisteren tegen in mijn krant. http://www.destentor.nl/regio/urk/oplichtersmail-gaat-nu-rond-in-flevoland-1.5660980. Dat had Google dus al eergisteren kunnen vinden, want toen stond het al op de site.

Uit dit artikel maak ik op dat de oplichters heel gericht mensen uit een regio benaderen. Ze moeten dus een koppeling tussen e-mail adres en woonplaats hebben.

dat zijn de mensen die niets te verbergen hebben!
28-01-2016, 08:50 door Erik van Straten
Dank voor alle reacties!

27-01-2016, 13:05 door fvandillen: Heb je een vermoeden dat dit massaal verstuurd is of meer een gerichte aanval op jou?
Bovenstaande mail kreeg ik doorgestuurd door iemand met een e-mail account op een school.

27-01-2016, 13:28 Door Briolet: Toevallig kwam ik dit bericht juist gisteren tegen in mijn krant. http://www.destentor.nl/regio/urk/oplichtersmail-gaat-nu-rond-in-flevoland-1.5660980. Dat had Google dus al eergisteren kunnen vinden, want toen stond het al op de site.
Inderdaad, als ik mijn zoektermen aanpas vind ik die ook (en deze security.nl pagina).

27-01-2016, 13:28 Door Briolet: Uit dit artikel maak ik op dat de oplichters heel gericht mensen uit een regio benaderen. Ze moeten dus een koppeling tussen e-mail adres en woonplaats hebben.
Zie mijn antwoord bovenaan deze bijdrage. Uit het e-mail adres van de ontvanger kun je eenvoudig het adres van de website van die school afleiden, waarop je natuurlijk ook het vestigingsadres kunt vinden.Het zou kunnen kloppen dat er per regio verzonden wordt, maar ik denk eerder aan e-mail adressen die op .nl eindigen.

27-01-2016, door Anoniem: Als iedere ontvanger na zou denken, komen ze met deze actie niet ver: [...]
Zeker, maar dit soort mails spelen in op de schrikreactie van de ontvanger. Als dat toevallig samenvalt met "nog even snel m'n mail checken voor ik naar bed/werk ga" neemt de slagingskans waarschijnlijk toe.

27-01-2016, 22:07 door Anoniem: [...]
Kunnen windowspapas voor het ontsleutelen van een en ander en benodigde bitcoins terecht bij ene erik omdat zoonlief zijn gepaste straatje met malwarelinkjes uitproberen?

Deze site kent lezers van jong tot oud, links naar cryptowall ransomare gaan lopen pasten is weinig verantwoordelijk gedrag.
Als zoonlief dat wil heeft hij zat eenvoudiger alternatieven. Als hij bijv. zijn e-mail adres op zijn Facebook pagina zet, krijgt hij de malware vanzelf aangeleverd en hoeft hij niet eens "hxxp" in "http" te wijzigen. Los van de manier waarop zoonlief aan malware weet te komen: als pa de PC (en eventuele server/NAS) goed heeft ingericht, worden uitsluitend bestanden van zoonlief versleuteld. Dat zal hem leren...

27-01-2016, 22:07 door Anoniem: De links naar deze rottige malware zijn helemaal niet nodig voor het punt van attentie dat je wilde maken.
Zelf ben ik al heel lang zo'n "zoonlief" die malware + het gedrag van virusscanners onderzoekt (het starten van malware weet ik -tot nu toe- te voorkomen). Met name als de kans groot is dat gebruikers in mijn omgeving met malware te maken kunnen krijgen, vind ik dit erg leerzaam. Aangezien dit iets is dat ik elke security professional aanraad (goed op de hoogte blijven), ben ik blij met elke link die gepost wordt. Aangezien ik niet alleen wil "leechen", post ik zelf ook dit soort informatie.
28-01-2016, 14:15 door Anoniem
ook hier een dergelijk bericht ontvangen, ik vermoed hetzelfde ziggo adres. gespoofed? (het blijkt ook op een website met lijst mailadressen te staan maar daar heeft de eigenaar een andere naam dan mijn mailbericht)
28-01-2016, 14:15 door Briolet
Door Erik van Straten:
27-01-2016, 13:28 Door Briolet: Uit dit artikel maak ik op dat de oplichters heel gericht mensen uit een regio benaderen. Ze moeten dus een koppeling tussen e-mail adres en woonplaats hebben.
Zie mijn antwoord bovenaan deze bijdrage. Uit het e-mail adres van de ontvanger kun je eenvoudig het adres van de website van die school afleiden, waarop je natuurlijk ook het vestigingsadres kunt vinden.Het zou kunnen kloppen dat er per regio verzonden wordt, maar ik denk eerder aan e-mail adressen die op .nl eindigen.

Bij nalezen van dat kranten artikel staat er inderdaad niet expliciet dat de mails binnen één regio verstuurd zijn. Er staat alleen dat er nu in de regio Urk een heleboel opduiken, en eerder in de regio Borne. Dit kan ook komen doordat in deze regio's gewoon journalisten zaten die dit soort meldingen eerder openbaar maakten.
29-01-2016, 11:01 door Anoniem
Door Erik van Straten:
Van: Theo <achternaam> <theo.<redacted>@ziggo.nl>
Datum: dinsdag 26 januari 2016 14:24
Aan: <ontvanger>
Onderwerp: Schade vergoeden!

Goededag,

U bent tegen mijn auto aangereden, waardoor ik nu een paar lelijke krassen op mijn auto heb.
De buurvrouw heeft het zien gebeuren. Daarna bent u doorgereden.
De schade zal een paar honderd euro bedragen. Ik wil dat u dit gaat betalen, of ik haal de politie erbij.

Zie mijn schadeclaim
dropbox/nl-nl/user/theo.<achternaam>@ziggo.nl/downloads/SchadeformulierA26.doc/

met groet,
Theo <achternaam>
Nb. hierboven heb ik de achtenaam van de -schijnbare- afzender vervangen door <achternaam>, en de werkelijke ontvanger door <ontvanger>.

Onder de link zit de volgende URL: hxxp://gtafive.ml/zSDBe (http vervangen door hxxp)
Als je die opent, vindt een redirect plaats naar:
hxxp://pensionhouse.kr/House/data/theme/Schadeformulier_A2600011147.doc.zip
Bij download met firefox kreeg ik tot 4x toe een te korte file (afgebroken).
Met MSIE eerst ook, maar ik kon op "Resume" drukken waarna wel de volledige file werd gedownload.

Die zipfile bevat "Schadeformulier_A26000121792431147.doc.exe" met een Adobe Reader icoontje. Als het tonen van bestandsextensies uitstaat (default in Windows) ziet de gebruiker natuurlijk "Schadeformulier_A26000121792431147.doc". Het lijkt hierbij te gaan om CryptoWall ransomware.

Gisteren (2016-01-26 16:19:22 UTC) detecteerden 10 van 53 scanners hier malware in, zie https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453825162/.

Zojuist (2016-01-27 11:25:05 UTC) waren dat er 28 / 54, zie https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453893905/.

Voor de actuele status kun je klikken op https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/.

Er zijn meer van dit soort malwareexemplaren in omloop, bijv. Schadeformulier_A26022448480757.doc.zip (30 / 54, zie https://www.virustotal.com/en/file/1e71ba832dd3e69cb49ed400eac2cf85390a6e38f388ba6f74b7071d563b2f8d/analysis/1453885589/).

Voor de pensionhous.kr URL zie https://www.virustotal.com/en/url/744f33de19960740d23a52080bebded02138015917e74f711368b902bbb5c564/analysis/ (momenteel 3 / 66).

P.S. ik post dit hier omdat ik via Google nog niets over dit type spam kon vinden, hierna kunnen anderen dat wel. Overigens vind ik deze spam wel heel agressief (met name door een bestaand persoon met naam en toenaam te benoemen, die hier hoogstwaarschijnlijk niets mee te maken heeft).
Door Erik van Straten: Dank voor alle reacties!

27-01-2016, 13:05 door fvandillen: Heb je een vermoeden dat dit massaal verstuurd is of meer een gerichte aanval op jou?
Bovenstaande mail kreeg ik doorgestuurd door iemand met een e-mail account op een school.

27-01-2016, 13:28 Door Briolet: Toevallig kwam ik dit bericht juist gisteren tegen in mijn krant. http://www.destentor.nl/regio/urk/oplichtersmail-gaat-nu-rond-in-flevoland-1.5660980. Dat had Google dus al eergisteren kunnen vinden, want toen stond het al op de site.
Inderdaad, als ik mijn zoektermen aanpas vind ik die ook (en deze security.nl pagina).

27-01-2016, 13:28 Door Briolet: Uit dit artikel maak ik op dat de oplichters heel gericht mensen uit een regio benaderen. Ze moeten dus een koppeling tussen e-mail adres en woonplaats hebben.
Zie mijn antwoord bovenaan deze bijdrage. Uit het e-mail adres van de ontvanger kun je eenvoudig het adres van de website van die school afleiden, waarop je natuurlijk ook het vestigingsadres kunt vinden.Het zou kunnen kloppen dat er per regio verzonden wordt, maar ik denk eerder aan e-mail adressen die op .nl eindigen.

27-01-2016, door Anoniem: Als iedere ontvanger na zou denken, komen ze met deze actie niet ver: [...]
Zeker, maar dit soort mails spelen in op de schrikreactie van de ontvanger. Als dat toevallig samenvalt met "nog even snel m'n mail checken voor ik naar bed/werk ga" neemt de slagingskans waarschijnlijk toe.

27-01-2016, 22:07 door Anoniem: [...]
Kunnen windowspapas voor het ontsleutelen van een en ander en benodigde bitcoins terecht bij ene erik omdat zoonlief zijn gepaste straatje met malwarelinkjes uitproberen?

Deze site kent lezers van jong tot oud, links naar cryptowall ransomare gaan lopen pasten is weinig verantwoordelijk gedrag.
Als zoonlief dat wil heeft hij zat eenvoudiger alternatieven. Als hij bijv. zijn e-mail adres op zijn Facebook pagina zet, krijgt hij de malware vanzelf aangeleverd en hoeft hij niet eens "hxxp" in "http" te wijzigen. Los van de manier waarop zoonlief aan malware weet te komen: als pa de PC (en eventuele server/NAS) goed heeft ingericht, worden uitsluitend bestanden van zoonlief versleuteld. Dat zal hem leren...

27-01-2016, 22:07 door Anoniem: De links naar deze rottige malware zijn helemaal niet nodig voor het punt van attentie dat je wilde maken.
Zelf ben ik al heel lang zo'n "zoonlief" die malware + het gedrag van virusscanners onderzoekt (het starten van malware weet ik -tot nu toe- te voorkomen). Met name als de kans groot is dat gebruikers in mijn omgeving met malware te maken kunnen krijgen, vind ik dit erg leerzaam. Aangezien dit iets is dat ik elke security professional aanraad (goed op de hoogte blijven), ben ik blij met elke link die gepost wordt. Aangezien ik niet alleen wil "leechen", post ik zelf ook dit soort informatie.
Door Erik van Straten: Dank voor alle reacties!

27-01-2016, 13:05 door fvandillen: Heb je een vermoeden dat dit massaal verstuurd is of meer een gerichte aanval op jou?
Bovenstaande mail kreeg ik doorgestuurd door iemand met een e-mail account op een school.

27-01-2016, 13:28 Door Briolet: Toevallig kwam ik dit bericht juist gisteren tegen in mijn krant. http://www.destentor.nl/regio/urk/oplichtersmail-gaat-nu-rond-in-flevoland-1.5660980. Dat had Google dus al eergisteren kunnen vinden, want toen stond het al op de site.
Inderdaad, als ik mijn zoektermen aanpas vind ik die ook (en deze security.nl pagina).

27-01-2016, 13:28 Door Briolet: Uit dit artikel maak ik op dat de oplichters heel gericht mensen uit een regio benaderen. Ze moeten dus een koppeling tussen e-mail adres en woonplaats hebben.
Zie mijn antwoord bovenaan deze bijdrage. Uit het e-mail adres van de ontvanger kun je eenvoudig het adres van de website van die school afleiden, waarop je natuurlijk ook het vestigingsadres kunt vinden.Het zou kunnen kloppen dat er per regio verzonden wordt, maar ik denk eerder aan e-mail adressen die op .nl eindigen.

27-01-2016, door Anoniem: Als iedere ontvanger na zou denken, komen ze met deze actie niet ver: [...]
Zeker, maar dit soort mails spelen in op de schrikreactie van de ontvanger. Als dat toevallig samenvalt met "nog even snel m'n mail checken voor ik naar bed/werk ga" neemt de slagingskans waarschijnlijk toe.

27-01-2016, 22:07 door Anoniem: [...]
Kunnen windowspapas voor het ontsleutelen van een en ander en benodigde bitcoins terecht bij ene erik omdat zoonlief zijn gepaste straatje met malwarelinkjes uitproberen?

Deze site kent lezers van jong tot oud, links naar cryptowall ransomare gaan lopen pasten is weinig verantwoordelijk gedrag.
Als zoonlief dat wil heeft hij zat eenvoudiger alternatieven. Als hij bijv. zijn e-mail adres op zijn Facebook pagina zet, krijgt hij de malware vanzelf aangeleverd en hoeft hij niet eens "hxxp" in "http" te wijzigen. Los van de manier waarop zoonlief aan malware weet te komen: als pa de PC (en eventuele server/NAS) goed heeft ingericht, worden uitsluitend bestanden van zoonlief versleuteld. Dat zal hem leren...

27-01-2016, 22:07 door Anoniem: De links naar deze rottige malware zijn helemaal niet nodig voor het punt van attentie dat je wilde maken.
Zelf ben ik al heel lang zo'n "zoonlief" die malware + het gedrag van virusscanners onderzoekt (het starten van malware weet ik -tot nu toe- te voorkomen). Met name als de kans groot is dat gebruikers in mijn omgeving met malware te maken kunnen krijgen, vind ik dit erg leerzaam. Aangezien dit iets is dat ik elke security professional aanraad (goed op de hoogte blijven), ben ik blij met elke link die gepost wordt. Aangezien ik niet alleen wil "leechen", post ik zelf ook dit soort informatie.
Door Erik van Straten:
Van: Theo <achternaam> <theo.<redacted>@ziggo.nl>
Datum: dinsdag 26 januari 2016 14:24
Aan: <ontvanger>
Onderwerp: Schade vergoeden!

Goededag,

U bent tegen mijn auto aangereden, waardoor ik nu een paar lelijke krassen op mijn auto heb.
De buurvrouw heeft het zien gebeuren. Daarna bent u doorgereden.
De schade zal een paar honderd euro bedragen. Ik wil dat u dit gaat betalen, of ik haal de politie erbij.

Zie mijn schadeclaim
dropbox/nl-nl/user/theo.<achternaam>@ziggo.nl/downloads/SchadeformulierA26.doc/

met groet,
Theo <achternaam>
Nb. hierboven heb ik de achtenaam van de -schijnbare- afzender vervangen door <achternaam>, en de werkelijke ontvanger door <ontvanger>.

Onder de link zit de volgende URL: hxxp://gtafive.ml/zSDBe (http vervangen door hxxp)
Als je die opent, vindt een redirect plaats naar:
hxxp://pensionhouse.kr/House/data/theme/Schadeformulier_A2600011147.doc.zip
Bij download met firefox kreeg ik tot 4x toe een te korte file (afgebroken).
Met MSIE eerst ook, maar ik kon op "Resume" drukken waarna wel de volledige file werd gedownload.

Die zipfile bevat "Schadeformulier_A26000121792431147.doc.exe" met een Adobe Reader icoontje. Als het tonen van bestandsextensies uitstaat (default in Windows) ziet de gebruiker natuurlijk "Schadeformulier_A26000121792431147.doc". Het lijkt hierbij te gaan om CryptoWall ransomware.

Gisteren (2016-01-26 16:19:22 UTC) detecteerden 10 van 53 scanners hier malware in, zie https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453825162/.

Zojuist (2016-01-27 11:25:05 UTC) waren dat er 28 / 54, zie https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/1453893905/.

Voor de actuele status kun je klikken op https://www.virustotal.com/en/file/e0eb2c5156bed03272b5ee832699823c4c9fc18cb97ade1a9fa2f170930de465/analysis/.

Er zijn meer van dit soort malwareexemplaren in omloop, bijv. Schadeformulier_A26022448480757.doc.zip (30 / 54, zie https://www.virustotal.com/en/file/1e71ba832dd3e69cb49ed400eac2cf85390a6e38f388ba6f74b7071d563b2f8d/analysis/1453885589/).

Voor de pensionhous.kr URL zie https://www.virustotal.com/en/url/744f33de19960740d23a52080bebded02138015917e74f711368b902bbb5c564/analysis/ (momenteel 3 / 66).

P.S. ik post dit hier omdat ik via Google nog niets over dit type spam kon vinden, hierna kunnen anderen dat wel. Overigens vind ik deze spam wel heel agressief (met name door een bestaand persoon met naam en toenaam te benoemen, die hier hoogstwaarschijnlijk niets mee te maken heeft).

Dit is zeker aan te raden!
29-01-2016, 12:25 door Anoniem
Gewoon wegflikkeren dit soort mail.
29-01-2016, 13:12 door Anoniem
Gewoon wegflikkeren dit soort mail.

Misschien dat IT beveiligers wel verder geinteresseerd zijn in dit soort zaken, buiten het wegflikkeren van de mail. Bijvoorbeeld om netwerk verkeer van besmette systemen te kunnen detecteren/blokkeren. Niet iedereen hier is een thuisgebruiker die hier verder niet bij hoeft na te denken. Ik flikker de bijlage bijvoorbeeld in mijn malware lab.
29-01-2016, 15:56 door Anoniem
Door Anoniem:
Gewoon wegflikkeren dit soort mail.

Misschien dat IT beveiligers wel verder geinteresseerd zijn in dit soort zaken, buiten het wegflikkeren van de mail. Bijvoorbeeld om netwerk verkeer van besmette systemen te kunnen detecteren/blokkeren. Niet iedereen hier is een thuisgebruiker die hier verder niet bij hoeft na te denken. Ik flikker de bijlage bijvoorbeeld in mijn malware lab.

Gewoon weggooien dit soort mail.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.