Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Email met marco malware gepersonaliseerd met ?Linkedin? gegevens

07-06-2016, 11:18 door Placebo, 35 reacties
Het valt me op dat sinds een half uur hier e-mails binnen komen die behoorlijk gepersonaliseerd zijn. De email bevatten een Word document met Macro malware als bijlage.
Ik denk dat men de laatst gelekte Linkedin database heeft gebruikt om de email te personaliseren:

Onderwerp:
Naam van bedrijf - De nota is nog niet betaald (10-981690)

Body:
Beste voornaam achternaam,
Functie, naam bedrijf

Deze e-mail betreft uw factuur met nummer#J-3241197. De nota staat open sinds13-jun-'16. Het gaat om een bedrag van 2,778.50 Euro. Vriendelijk verzoek om het resterende bedrag te voldoen.

Wij wachten uw reactie af.

Met vriendelijke groet,

voornaam achternaam,
Naam ander bedrijf
adres gegevens ander bedrijf
Tel. telefoon ander bedrijf
Fax. fax ander bedrijf


Virustotal (2/55):
https://www.virustotal.com/nl/file/78e35ad4a7a59d86809c9e7e73cec6dee716ef0d25f9b8aee463003683d566e6/analysis/1465290260/

Hybrid Analysis:
https://www.hybrid-analysis.com/sample/78e35ad4a7a59d86809c9e7e73cec6dee716ef0d25f9b8aee463003683d566e6?environmentId=100
Reacties (35)
07-06-2016, 11:23 door Anoniem
Wij hebben ze hier ook voorbij zien komen, sinds gisteravond.
De run is nog bezig want ik weet 2 omgevingen waar sinds 10 minuten die mails binnen zijn gekomen.

Er zijn meerdere subjects, maar de mails komen allemaal van @t-mobile.de

Succes iedereen
07-06-2016, 11:32 door Anoniem
Hier ook, tientallen mailtjes, gepersonaliseerd en met functieomschrijving.
Verstuurd als <naam>@t-online.de via mailservers van t-online.de.
Worden niet herkend door DNS blacklists en virusscanners.
07-06-2016, 11:40 door Anoniem
Vind je het sowieso niet vreemd dat de nota openstaat sinds 13 juni 2016 of is het een voorbeeld?
07-06-2016, 11:45 door Anoniem
Het is hier al sinds 8.30 aan de gang.. voornamelijk afkomstig van t-online.de
07-06-2016, 11:49 door Anoniem
Ik heb de mail ook voorbij zien komen, evenals meerdere collega's. De gegevens zijn volgens mij ook afkomstig van Linkedin. Wat mij nog opviel is dat de afzendergegevens die genoemd worden in het mailtje ook een Linkedin contact lijken te zijn, ook afkomstig uit dezelfde database. Het kan dus zijn dat je niet alleen ontvanger bent, maar ook verzender van de gegevens, volgens het mailtje dan. Toen ik de bijlage scande had ik nog een score van 0/55, gelukkig lijkt de detectie inmiddels beter.
07-06-2016, 11:54 door Overcome
De nota staat open sinds13-jun-'16.

Heel veel duidelijker wordt het niet dat het om een scam gaat.
07-06-2016, 12:03 door Anoniem
Zie ze vandaag ook bij onze klanten.
07-06-2016, 13:33 door Anoniem
Yep, hier ook honderden !!!
Worden ook niet afgevangen
07-06-2016, 15:07 door Anoniem
Ook leuk dat je door een relatie wordt gebeld dat hij de factuur liever per post ontvangt :)
07-06-2016, 15:47 door Placebo
IOC's (Thanks Fox-IT!):
https://otx.alienvault.com/pulse/5756908fd865640135212865/
07-06-2016, 17:08 door [Account Verwijderd]
[Verwijderd]
07-06-2016, 17:44 door Anoniem
Weet iemand ook of herkend kan worden dat het betreffende document is geopend en het virus is opgestart. Er is iemand in de organisatie die de mail heeft geopend. Ik kan echter niet iets héél vreemds ontdekken in Taakbeheer. M.a.w. is het herkenbaar?
07-06-2016, 17:55 door Placebo
https://isc.sans.edu/forums/diary/LinkedIn+Breach+Data+Used+For+Malicious+EMails/21139/
07-06-2016, 17:55 door Anoniem
Weet iemand of je dit virus (deze malware) kunt elimineren? Ik gebruik zelf F-Secure via KPN, maar die herkent geen malware in het document (het is dus ook geopend geweest). Alvast bedankt
07-06-2016, 22:55 door Anoniem
Deze data is buitgemaakt via de LinkedIn data hack, las ik net, Ben even de bron kwijt...
07-06-2016, 23:02 door Anoniem
Is het niet mogelijk dat de email-providers (Google en Microsoft voorop) in staat zijn om een email te scannen op dit soort oplichting?
Als ik op de link klik en er gebeurt iets heel vervelends, moet een solide bedrijf als Google of Microsoft dat toch ook wel kunnen detecteren als de de email doorfluiten?
Ik neem aan dat Google en Microsoft wel weten hoe zij een eventuele poging tot encripten weten te voorkomen.

Ik realiseer mij wel dat ik dan mijn privacy tot in de haarvaten prijs geef, maar wel aan bekende bronnen. Ransomware lijkt mij toch een stuk erger?
08-06-2016, 07:18 door Anoniem
Als je twijfelt zou je een (gratis) malware removal/scanner tool, eigenlijk het liefst meer dan een, kunnen draaien op je systeem.
Als die niets vindt, kan het systeem schoon zijn, maar 100% zeker weten kun je het niet. Een format en schone Windows installatie is dan het enige wat zekerheid brengt.
08-06-2016, 09:05 door root - Bijgewerkt: 08-06-2016, 09:15
De malware verschijnt als procesnaam "tmp1A1a.tmp" wat te zien is in taakbeheer. De locatie is C:\users\[user]\AppData\Local\Temp\Tmp1A1A.tmp.
08-06-2016, 09:45 door Anoniem
Hier zijn op dezelfde dag nog nieuwsartikels over verschenen... dunkt mij dat informatie beter gegroepeerd dan gesegreggeerd wordt.
08-06-2016, 09:50 door [Account Verwijderd]
[Verwijderd]
08-06-2016, 11:36 door Anoniem
Door Anoniem: Is het niet mogelijk dat de email-providers (Google en Microsoft voorop) in staat zijn om een email te scannen op dit soort oplichting?
Als ik op de link klik en er gebeurt iets heel vervelends, moet een solide bedrijf als Google of Microsoft dat toch ook wel kunnen detecteren als de de email doorfluiten?
Ik neem aan dat Google en Microsoft wel weten hoe zij een eventuele poging tot encripten weten te voorkomen.

Ik realiseer mij wel dat ik dan mijn privacy tot in de haarvaten prijs geef, maar wel aan bekende bronnen. Ransomware lijkt mij toch een stuk erger?

Ja hoor, kan je zelf ook: blokkeren van office docs met macro's op de MTA.
08-06-2016, 12:12 door Anoniem
Wat ben ik blij dat ik geen Windows draai. Gelukkig werkt mijn computer nog voor mij, in plaats van dat ik voor mijn computer werk... :-)
08-06-2016, 12:18 door Anoniem
Door Anoniem: Vind je het sowieso niet vreemd dat de nota openstaat sinds 13 juni 2016 of is het een voorbeeld?

Bij ons staat er ook 13 juni 2016, dus dat zou kunnen kloppen, en andere 8 juni..
08-06-2016, 14:28 door root
Hoe vaak zou t-mobile.de zijn gebeld?
08-06-2016, 15:24 door Anoniem
Door Bobtb: Het wordt wel steeds moeilijker gemaakt om spam te versturen (door toepassing van DKIM, SPF en DMARC records, maar er is enige kennis voor nodig om goed te implementeren), echter blijft het aan de ontvanger om te bepalen of iets legitiem is of niet.

Phishers kunnen een aanval doen zonder het domein van een bank te gebruiken.

Spammers hebben gisteren "mijnicsactiveren.su" geregistreerd (ICS is een credit card bedrijf). Dat zal waarschijnlijk in phishing worden gebruikt.
08-06-2016, 16:32 door [Account Verwijderd]
[Verwijderd]
08-06-2016, 17:05 door Anoniem
Dat zou natuurlijk kunnen. In een ideale wereld heeft iedereen DKIM, SPF en DMARC records ingericht en worden dergelijke emails vanaf valse domeinnamen door spamfilters ertussenuit gehaald, maar helaas zal dat niet (gauw) gebeuren.

Nee, en wanneer spammers vrij zijn in het aanschaffen van een willeurig domein kunnen ze dat domein voorzien van DKIM, SPF, etc. Het werkt dus alleen als de ontvanger goed controleert. En dat is precies wat er doorgaans niet gebeurt. Het ontbreekt aan tools aan de ontvangerskant.

Wel zijn er zware nadelen aan die domeingebaseerde authenticatietechnieken (blokkeren bij doorsturen bijvoorbeeld).

Het is het beste toepasbaar bij financiele instellingen, overheden en bedrijven die rekeningen versturen, maar zij kunnen veel beter met signeren van berichten en certicaten werken. Dat gebeurt helaas zelden of nooit en dat is dus een zwak punt in de huidige beveiliging.
08-06-2016, 21:35 door Erik van Straten - Bijgewerkt: 08-06-2016, 21:50
08-06-2016, 17:05 door Anoniem:
Dat zou natuurlijk kunnen. In een ideale wereld heeft iedereen DKIM, SPF en DMARC records ingericht en worden dergelijke emails vanaf valse domeinnamen door spamfilters ertussenuit gehaald, maar helaas zal dat niet (gauw) gebeuren.
Nee, en wanneer spammers vrij zijn in het aanschaffen van een willeurig domein kunnen ze dat domein voorzien van DKIM, SPF, etc.
Dat is niet eens nodig.

In de meest ideale situatie (en die heb je zelden) beschermt uitsluitend de combinatie van SPF+DKIM+DMARC hooguit één specifieke e-mail afzenderdomeinnaam (d.w.z. example.com uit het fictieve e-mail adres voorbeeldafzender@example.com).

Die combinatie van SPF+DKIM+DMARC records voor één domeinnaam heeft geen enkele invloed op iets afwijkende "klinkt als" of "lijkt op" domeinnamen zoals example.nl, example.net of com.example.

Als de ontvanger van een e-mail zich al realiseert dat zij/hij op de domeinnaam van de afzender van een e-mail moet letten (en die domainnaam überhaupt zichtbaar is in de gebruikte e-mail client), moet zij/hij zich daarnaast ook nog realiseren en weten dat uitsluitend icscards.nl en icscardsonline.nl (voor zover ik weet zijn dat slechts die twee, maar hoe je betrouwbaar kunt vaststellen of en welke andere e-mail domeinnamen tot een organisatie behoren, weet ik niet) legitieme e-mail afzenderdomeinnamen zijn voor de organisatie met als website https://www.icscards.nl/.

M.a.w. zij/hij moet zich realiseren dat e-mails, die verzonden zijn (of lijken te zijn; zonder voor die domeinnaam geregistreerde SPF+DKIM+DMARC records is dat doodsimpel) van een (iets) afwijkende domeinnaam, hoogstwaarschijnlijk niet afkomstig zijn van de veronderstelde organisatie (https://www.icscards.nl/).

En als zij/hij op een link in zo'n mail klikt, moet zij/hij zich realiseren dat als de URL van de website niet begint met https://www.icscards.nl/ (let daarbij goed op die laatste slash, want https://www.icscards.nl@example.com of https://www.icscards.nl.example.com zijn totaal andere sites), het niet om de juiste site gaat. OOK NIET als die website een correct certificaat heeft en, zondet certificaatfoutmeldingen, een slotje getoond wordt (zoals www.icscardonline.nl recentelijk had, zie [1]) en als twee druppels op de verwachte website lijkt.

Kortom, DPF+DKIM+DMARC records voor icscards.nl bieden geen enkele bescherming tegen e-mails verzonden door maaknietuit@mijnicsactiveren.su (zowel werkelijk als schijnbaar). Als de ontvanger niet weet dat mijnicsactiveren.su niet van International Card Services BV (ICS) is, en na het klikken op de link in de mail de URL in de webbrowser http://www.mijnicsactiveren.su/, of zelfs https://www.mijnicsactiveren.su/ met slotje, niet als nep herkent, is zij/hij kansloos.

[1] https://www.security.nl/posting/471357/ICS+Phishing+spamrun
09-06-2016, 12:42 door Anoniem
Ik zou ook wel graag willen weten hoe ik deze malware van marco onschadelijk maak.
09-06-2016, 19:42 door Anoniem
Door Anoniem: Ik zou ook wel graag willen weten hoe ik deze malware van marco onschadelijk maak.
Niet!
Gewoon marco met een punt 50 afknallen. Dan kan hij geen nieuwe malware meer maken. ;-)
10-06-2016, 13:19 door Blueline
Ik heb t-online.de binnen Exchange geblokkeerd.
Hierdoor komen de mailtjes niet meer binnen.
10-06-2016, 14:56 door Anoniem
Door Blueline: Ik heb t-online.de binnen Exchange geblokkeerd.
Hierdoor komen de mailtjes niet meer binnen.

Ik hoop voor je dat je geen zaken doet met Duitse bedrijven. T-online is een grote telecom provider.
10-06-2016, 20:19 door Blueline
Door Anoniem:
Door Blueline: Ik heb t-online.de binnen Exchange geblokkeerd.
Hierdoor komen de mailtjes niet meer binnen.

Ik hoop voor je dat je geen zaken doet met Duitse bedrijven. T-online is een grote telecom provider.

Uiteraard. Wij doen geen zaken met T-Online.
10-06-2016, 21:46 door Anoniem
Door Blueline:
Door Anoniem:
Door Blueline: Ik heb t-online.de binnen Exchange geblokkeerd.
Hierdoor komen de mailtjes niet meer binnen.

Ik hoop voor je dat je geen zaken doet met Duitse bedrijven. T-online is een grote telecom provider.

Uiteraard. Wij doen geen zaken met T-Online.

Nee, dat zal wel niet, maar T-Online is de grootste ISP in Duitsland met 14 miljoen gebruikers en miljoenen t-online.de email accounts.
11-06-2016, 07:02 door Erik van Straten
10-06-2016, 13:19 door Blueline: Ik heb t-online.de binnen Exchange geblokkeerd.
Hierdoor komen de mailtjes niet meer binnen.
Prina, m.i. hebben we veel te lang de zelfregulerende werking van Internet verwaarloosd.

Als mailservers spammen horen ze op spam blacklists te komen. Dan ontstaat eerst bij de klanten en vervolgens bij de ISP het besef van urgentie om het onderliggende probleem op te lossen. Whitelisting van "dikke" mailservers zorgt ervoor dat de eigenaars daarvan denken dat ze zich alles maar kunnen permitteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.