Re: Completed DocuSign: Closing DOC958811-00140000847911.pdf von Amax Enterprises (HK) Ltd ([email protected])
Am Sonntag, den 02. Juli 2017 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Bei der Anlage handelt es sich um eine bösartige Software! Entpacken Sie daher nicht die Anlage und führen Sie die darin enthaltene Datei nicht aus!
Betreff: Re: Completed DocuSign: Closing DOC958811-00140000847911.pdf
Absender: Amax Enterprises (HK) Ltd ([email protected])
Die E-Mail kommt mit einer Datei / einem Archiv „Completed DocuSign – DOC958811-00140000847911._z“, welches die Datei „Completed DocuSign – DOC958811-00140000847911.exe“ enthält.
Achtung: Auch wenn die im Archiv enthaltene Datei das iTunes-Logo zeigt, so handelt es sich dennoch um eine bösartige, ausführbare Datei! Virustotal zeigt für die „Completed DocuSign – DOC958811-00140000847911.exe“ eine Erkennungsrate von 14/61! Öffnen Sie nicht die Datei!
Nach dem Ausführen der Datei würde ein reger Austausch mit der Domain www.muffolini.it/plugins/gate.php stattfinden (dabei werden unterschiedliche Parameter an die Datei angehängt wie z. B. www.muffolini.it/plugins/gate.php?p=12, www.muffolini.it/plugins/gate.php?u=2, www.muffolini.it/plugins/gate.php?p=11, etc.).
Auf dem System werden eine „35E25D46.cmd“ – Datei angelegt sowie zunächst die Datei „svhost.exe“ bzw. später die Datei „explorer.exe“ zwischengespeichert.
Die „35E25D46.cmd“ würde dabei folgende Befehle enthalten:
del /F „C:\Users\user\AppData\Roaming\tmp.exe“
del /F „C:\Users\user\AppData\Local\Temp\35E25D46.cmd“
Nach dem Ausführen der „Completed DocuSign – DOC958811-00140000847911.exe“ wird u. U. eine Fehlermeldung angezeigt. Das System ist aber dennoch infiziert!
Im Roaming-Verzeichnis werden verschiedene Dateien angelegt. So wird z. B. eine Datei „1.c“ angelegt, in der die Einstellungen und Zugangsdaten der E-Mail-Adresse abgespeichert werden:
==================================================
Name : xxxxx
Application : Windows Live Mail
Email : [email protected]
Server : imap.aol.com
Server Port : 143
Secured : No
Type : IMAP
User : xxxxx
Password : xxxxx
Profile :
Password Strength : Very Strong
SMTP Server : smtp.aol.com
SMTP Server Port : 587
==================================================
Außerdem wird im Roaming-Verzeichnis ein Unterverzeichnis angelegt wie z. B. „Roaming/com6.{00C6D95F-329C-409a-81D7-C46C66EA7F33}“. Darin befinden sich unterschiedliche Dateien wie z. B. „dwn.exe“ und „explorer.exe“. Virustotal zeigt für die „dwn.exe“ eine Erkennungsrate von 41/61!
Außerdem befindet sich in diesem Verzeichnis auch eine Datei „keys.c“, die alle vom Anwender getätigten Aktionen protokolliert. Dazu gehören die geöffneten Anwendungen, darin gewählte Menüs, selbst die Zwischenablage und alle Eingaben:
[esc]
<br><br><b><big><font color=“#0078a8″> [Unbenannt – Editor] – [02.07.2017 14:48:16]</font></b></big><br>
[page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][page_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_up][arrow_left]e[backspace].exe<br>
explorer.exe<br>
<br>
[shift][paste][arrow_up][arrow_up][arrow_up]<br>
<br><br><b><big><font color=“#7a9ec7″> [Clipboard] – [02.07.2017 14:48:48]</font></b></big><br>1EUb4t3dQTxWQ7UYRep54MnJhrNsiKS5RL
35[shift]E25[shift]D46.cmp[backspace]d
<br><br><b><big><font color=“#0078a8″> [Unbenannt – Paint] – [02.07.2017 14:48:48]</font></b></big><br>
[shift][paste][shift][paste][shift][paste]
<br><br><b><big><font color=“#0078a8″> [Unbenannt – Editor] – [02.07.2017 14:49:50]</font></b></big><br>
u
<br><br><b><big><font color=“#0078a8″> [Speichern unter] – [02.07.2017 14:49:51]</font></b></big><br>
log<br>
1[tab][arrow_down][arrow_up][arrow_up][arrow_up][arrow_up]<br>
<br>
<br><br><b><big><font color=“#0078a8″> [Wireshark: Save file as] – [02.07.2017 14:50:16]</font></b></big><br>
log<br>