Auf der Spur der digitec Phishing Mails
Hintergrund

Auf der Spur der digitec Phishing Mails

Dominik Bärlocher
Zürich, am 04.11.2016
Aktuell sind wieder Mails im Umlauf, die zur Zahlung eines Artikels von digitec auffordern. Diese Mails sind gefälscht und stammen von einem unbekannten Absender. Wir gehen auf Spurensuche. Wer sind die Hacker, die euch Phishing-Mails schicken? Und bitte, öffnet keine Anhänge in zweifelhaft aussehenden Mails.

Alarm im Kundenservice. Mehrere Kunden haben berichtet, sie hätten Mails von uns erhalten, die offensichtlich gefälscht sind. Sie fordern zur Zahlung eines Betrags für eine nicht im Mail erwähnte Bestellung auf.

keine Informationen über dieses Bild verfügbar
Das Mail ist kurz und knapp gehalten.

Gerade übermässig viele Indizien haben wir da nicht für unsere Spurensuche. Aus den Mails lässt sich aber schliessen, dass die Leute dahinter wohl kein Deutsch sprechen. Die Phisher hätten sich sonst wohl mindestens die Mühe gemacht, ein Textchen zu schreiben. Haben sie aber nicht. Nur die Zahlung und ein Word-Dokument im Format «.docx» sind angehängt.

Ein zweiter Blick aufs Mail

Das Mail stammt unter anderem von Mail-Adressen wie Digitec@ropa-maschinenbau.de, einer Firma, die grosse Maschinen herstellt. Offensichtlich führen wir keine Adresse bei Ropa. Die Hacker sitzen wohl auch nicht bei Ropa im Büro, sondern nutzen eine Schwachstelle in deren Mailsystem aus. Alternativ ist es auch möglich, dass die Mails so konfiguriert werden, dass einfach ein anderer Absender angezeigt wird.

Auf diese Weise können die Mails von einer Vielzahl Adressen stammen, allesamt von Unternehmen, die wohl kaum Interesse daran haben, euch schaden zuzufügen. Interessant hingegen sind Reports, die davon berichten, dass die Mails von der Domain digitec.com stammen. Diese gehört nicht uns, sondern jemand anderem.

Die Recherche ergibt, dass der Registrant der Domain digitec.com eine Digitec Corporation in Yonkers, New York ist. Weitere Recherche ergibt, dass da tatsächlich eine Digitec Corporation existiert.

keine Informationen über dieses Bild verfügbar
Die Digitec Corporation auf der Karte

Aber wir können schliessen, dass die Kriminellen – sofern sie denn Eigentümer der Domain sind – sich Digitec.com vor einer Weile geschnappt haben, denn sie haben die Domain noch bis Juni 2019. Das heisst: Sie haben die Domain entweder vor fünf Monaten oder zwei Jahren und fünf Monaten gekauft.

Aber: Hinweise darauf, dass die Digitec Corporation nicht hinter den Mails steckt, ist die auf der Domain hinterlegte Mail-Adresse: digitec@compuserve.com. Dabei handelt es sich um einen Gratis-Mailanbieter des Internetriesen AOL.

Der Anhang

Die Payload, also der Teil des Angriffs, der deinem PC schaden zufügt, ist im Anhang des Mails versteckt. Angehängt ist eine docx-Datei. Eine Datei, die mit Microsoft Word geöffnet werden will. Geöffnet sieht sie so aus.

keine Informationen über dieses Bild verfügbar
Das geöffnete Attachment

Das ist Detaillierung Ihr Konto

Um Quittung zu sehen, klicken Sie zwei Mal auf dem Bild.

Das gebrochene Deutsch liefert einen weiteren Hinweis darauf, dass die Angreifer kein Deutsch sprechen. Die meisten Primarschüler würden besseres Deutsch hinkriegen.

WICHTIG: Führe Anhänge von unbekannten Mails nie aus. Allein schon die Dateien zu öffnen kann gefährlich sein. Wir übernehmen keine Haftung für Schäden an deinem Computer.

Die Payload

Der Doppelklick auf das Bild startet bei standardmässigen Windows-Einstellungen ein JavaScript, das weiteren Code ausführt.

keine Informationen über dieses Bild verfügbar
Der Beginn des Codes der Payload

Ein IT-Security-Profi hat kurz einen Blick auf den Code geworfen. Seine Vermutung: «Sieht aus wie nach zu-javascript kompiliertem Code.» Die Angreifer waren schlau. Sie haben den Code, der in einer anderen Sprache als JavaScript geschrieben wurde, verschlüsselt und in einen, von jeder Maschine verständlichen, Code verpackt. Auch die Decodierung kann von Maschinen gelesen und ausgeführt werden.

keine Informationen über dieses Bild verfügbar
Auszug aus dem verschlüsselten Teil der Payload

Was genau das Programm tut, kann ich mit den mir zur Verfügung stehenden Zeit und Mitteln nicht sagen. Die Vermutung des Experten: «Es wird mit grosser Wahrscheinlichkeit weitere Malware herunterladen.» Hauseigene und externe Experten analysieren aber gerade weiter und suchen nach Spuren im Code.

Wie Digitec.ch Rechnungen verschickt

Bei uns wird Sicherheit gross geschrieben. Aber wir können dir leider nicht mehr Hintergrundinformationen dazu liefern. Nicht, weil wir sie dir nicht verraten wollen, sondern weil die Informationen von einem Angreifer gegen uns und gegen dich verwendet werden können.

Denn der aktuelle Fall zeigt: Wir sind ein Ziel. Und wir wollen den Angreifern so wenig Mittel und Informationen geben, wie möglich. Der aktuelle Fall zeigt, dass die Angreifer uns zwar kennen, aber zum Glück kennen sie uns nicht gut genug. Lasst auch ihr den offensichtlichen Fälschungen keine Chance!

Hier aber ein bisschen Information für dich: Wir verschicken Rechnungen immer im PDF-Format. Egal, was für Rechnungen du sonst mit dem Namen digitec erhältst – sie sind nicht von uns, wenn sie keine PDFs sind.

In diesem Sinne, bleibe sicher und öffne auf keinen Fall Mails, die irgendwie seltsam anmuten, auch wenn digitec oder Galaxus draufsteht. Die einzigen Domains, die wir zum Mailversand nutzen sind @digitec.ch, @digitecgalaxus.ch und @galaxus.ch.

Update: Was tun, wenn du infiziert bist?

Wenn du irrtümlich den Doppelklick auf das Bild gemacht hast, dann ist noch längst nicht alles verloren. Unsere interne IT-Abteilung hat den Code des Mails entschlüsselt und die Funktion der Malware entdeckt.

Dein Computer beziehungsweise dein Browser werden so modifiziert, dass sie ohne in der Regel notwendigen Proxy .onion Websites besuchen können. Diese sind im sogenannten Dark Net zu finden. Zudem installiert der Mailanhang ein Zertifikat, das es deinem Computer erlaubt, im Code bestimmte Sites zu besuchen, denn diese sind öffentlich nicht zugänglich. Was genau auf den Sites passiert, wissen wir zum aktuellen Zeitpunkt noch nicht. Es ist gut möglich, dass dort weitere Software bezogen wird. Eine Alternative, vermutet unsere IT-Abteilung, könnte sein, dass die Sites als Kontroll-Seiten für Botnets oder ähnliches genutzt werden. Mit der Verbindung zur .onion-Site ist es theoretisch möglich, deinem Computer Kommandos zu geben.

Wenn du der Infektion beikommen willst, helfen dir folgende Schritte:

  1. Öffne Firefox
  2. Gib in der Adresszeile about:config ein
  3. Suche nach network.dns
  4. Die Zeile network.dns.blockDotOnion ist bei einem infizierten Rechner auf false gesetzt
  5. Setze den Wert auf true und der Zugriff auf das Dark Net ist blockiert. Das Zertifikat dürfte laut aktuellen Erkenntnissen dann ohne Wirkung sein.
  6. Entferne das Zertifikat gemäss Anleitung Microsofts.aspx) oder Apples

Das macht zwar nicht alle Änderungen rückgängig, die die Malware auf deinem Computer gemacht hat, schneidet ihr aber den Kommunikationskanal zum Dark Net durch. So wird sie nach unserem aktuellen Wissensstand unschädlich gemacht, auch wenn noch Daten auf deinem PC bleiben. Wir arbeiten daran, eine Anleitung für vollständige Beseitigung der Malware zu erstellen.

Update II: Der Code ist vollständig entschlüsselt

Christian Margadant und sein Team haben den Schadcode vollständig entschlüsselt. Wir wissen nun genau, was die Phisher wollen, wie sie es tun und wie du dich vom Schadscript befreien kannst.

Der Code der *digitec Phisher** ist entschlüsselt
placeholder

placeholder

246 Personen gefällt dieser Artikel


Dominik Bärlocher
Dominik Bärlocher
Senior Editor, Zürich
Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.

Diese Beiträge könnten dich auch interessieren