Je BT-32084.doc gedownload en bekeken
(zonder eerst naar VT te gaan ;)Lijkt inderdaad een word document dat 'niet helemaal lekker in elkaar' zit.
Het lijkt me niet verstandig dit in een MS Office omgeving te openen en macro's in te schakelen.
Het doc geeft bij mij in een Niet WinOS omgeving met andere programma's in ieder geval foutmeldingen bij proberen te openen van het document
(o.a. LibreOffice).
Dit is de document structuur van het 'doc' dat ik uiteindelijk zie
[Content_Types].xml
_rels\.rels
customXml\_rels\item1.xml.rels
customXml\item1.xml
customXml\itemProps1.xml
docProps\app.xml
docProps\core.xml
word\_rels\document.xml.rels
word\_rels\vbaProject.bin.rels
word\document.xml
word\fontTable.xml
word\media\image1.png
word\numbering.xml
word\settings.xml
word\styles.xml
word\theme\theme1.xml
word\vbaData.xml
word\vbaProject.bin
word\webSettings.xml
Het plaatje en het bin file geven niet leesbare code.
E.e.a. nader bekeken.
In het png plaatje, waarvan me niet duidelijk is of het zelf al malware code bevat, staat de volgende informatie
Office
This document has been made in an old version of Microsoft Word.
This document is only available on computer and laptop versions of Microsoft Word.
In order to display this document you will first have to click "Enable Editing" and then
click "Enable Content" on the top of the page.
____________________________
Dit document is gemaakt met een oude versie van Microsoft Word.
Dit document is alleen beschikbaar op computer versies van Microsoft Word.
Om dit document weer te geven dient u eerst op "Bewerken inschakelen" te klikken en
vervolgens op "Inhoud inschakelen" te klikken in de gele balk boven aan de pagina.
Opmerkelijk is het verschil tussen de Engelse Tekst en de Nederlandse, de toevoeging van de frase "gele balk" lijkt erop te duiden dat de maker geen translator heeft gebruikt om Engelse tekst naar Nederlandse om te zetten maar dat het door iemand gedaan is die het Nederlands zelf beheerst.
Niet zo gek want deze phishingmail is ook geheel in het Nederlands, met hier en daar een toch nog 'spelfoudt' in de email..
Zou het dan een echte Hollandse schuinsmarcheerder zijn?
Gezien de onkennis van dees en tees.
Je weet het niet.
Twijfels;)
Verder gekeken geeft de maker alsnog wel wat weg aan interessevoorkeuren en misschien wel een mogelijke afkomst.
Een hex dump van de code uit de bin-file, op zoek naar iets van een domein of ip adres om meer rotzooi binnen te halen, levert bij terugkering de volgende reeks van letters op:
Tony Montana Z Rana Jak
Tony Montana?Dat lijkt me een Italiaan.
Zocht willekeurig wat op "Tony Montana Z Rana Jak" kreeg ik steeds resultaten van poolse websites, diverse pagina's met lyrics.
"Z Rana Jak" door een online translator gehaald dan levert op, "Polish detected".
En vertalingen als : "Met Rana Hoe" , "With Rana How" .
Who the .. is Rana?
Een of andere onontdekte poolse celeb?
Nederlands/Pools, Pools/Nederlands met Italiaanse filmvoorkeur?
Verder 'Word' ik er niet veel wijzer van
(als 'hobbysecuritydummie' ;), behalve dan dat de kans bestaat dat iemand die hier buiten de bekende paden wat aan het bijklussen is.
En dat de kans groot is dat we deze keer die klusser nou net niet in ons
(virtuele) huis willen hebben.
In mijn LibreOffice werkte deze vba-macro niet.
Waar ik nog wel benieuwd naar ben of deze vermoedelijke ellende ook niet zou werken in een LibreOffice versie voor Windows
(opgepast met experimenteren!).
Ik gun het 'jullie' van harte, LibreOffice.
In zijn algemeen en zeker als het je vrijwaart van dit soort macro malware.
LibreOffice?
https://www.libreoffice.org/download/libreoffice-fresh/Gratis!
En ongevaarlijk.
Aardig meegenomen: we hebben er in ieder geval een filmklassiekertip bij.