You're not connected to the Internet.
Know-how

Tracing back the digitec phishing e-mails

Currently, fraudulent e-mails containing payment requests for a digitec article are in circulation. These e-mails are fake and originate from an unknown sender. We’re on a quest to investigate this matter. Who are the hackers behind these phishing e-mails? And please do not open any attachments in dodgy-looking e-mails.

Red alert for our customer service. Several customers reported having received blatantly fake e-mails from us. The e-mails request payment for an order that is not further mentioned.

The e-mail is short and sweet.

We’re not exactly spoilt for clues when it comes to tracking down the culprits. However, one thing that can be concluded from the e-mails is that the people behind the attack do not speak German. If they did, surely they would have made the effort to add a short text. But they didn’t. All they did was attach a payment slip and a Word document in the format “.docx”.

A closer look at the e-mail

The e-mail shows sender adresses such as Digitec@ropa-maschinenbau.de, a company that manufactures large machines. It probably goes without saying that we do not have an address at Ropa. Furthermore, it can be assumed that the hackers are not sat at the Ropa office but are taking advantage of a weak spot in the company’s e-mail system. Another possibility is that the e-mails were configured to show a different sender.

This enables e-mails to be sent from numerous addresses from companies that have no interest in damaging you in any way. What is very interesting though are reports of e-mails being sent from the domain digitec.com. This domain does not belong to us but to someone else.

Our research has revealed that the digitec.com domain belongs to the Digitec Corporation in Yonkers, New York. Further research has shown that the Digitec Corporation really exists.

The Digitec Corporation on a map

We can, however, conclude that these criminals – provided they are the owners of the domain – got their hands on Digitec.com a while ago as it remains in their possession until June 2019. In other words: They either bought the domain five months or two years and five months ago.

However, there is an indication that the Digitec Corporation is not behind these e-mails. The e-mail address registered for the domain is digitec@compuserve.com – compuserve being a free e-mail service provided by the Internet giant AOL.

The attachment

The payload, that’s the part of the attack that harms your PC, is hidden in the e-mail attachment. The attachment is a docx file. A file that can be opened with Microsoft Word. This is what it looks like after opening.

The opened attachment

The attachment is written in terrible German and can roughly be translated as follows:

This is detailment your account

To see receipt, click twice on image.

The broken German provides a further clue that the attackers have no command of the language. Most elementary school kids would have done a better job.

WARNING: Don't go near attachments from unknown sources. Opening the files alone can be dangerous. We assume no liability for any damage caused to your computer.

The payload

In PCs with default Windows settings, double-clicking on the image triggers a JavaScript that runs further code.

The beginning of the payload code

An IT security pro took a quick look at it. His guess: “Looks like code compiled into JavaScript.” The attackers were smart. They encrypted the code written as JavaScript in another language and put it into code that is understandable by any machine. The decryption can also be read and carried out by machines.

Excerpt from an encrypted part of the payload

What it is that the programme does is hard to say with the time and means available at the moment. The expert’s estimation: “It will most probably download further malware.” Both our in-house and external experts are analyzing the situation and looking for further clues in the code.

How Digitec.ch sends invoices

Security is one of our prime concerns. Therefore, we are currently unable to provide you with further information. It’s not that we don’t want to tell you but that an attacker can use the information against you or us.

As the current case proves: We are a target. And we want to give the attackers as little means and information as possible. The current case also proves that, although the attackers know who we are, they don’t know us well enough. Help us by giving no foothold to these blatant fakes!

A bit of practical information for you: We always send invoices in PDF format. No matter what kind of digitec invoice you may receive – if it’s not in PDF format, it’s not from us.

With this in mind, stay safe and refrain from opening e-mails that are in any way suspicious – even if they look like they’re from digitec or Galaxus. The only domains we use for sending e-mails are @digitec.ch, @digitecgalaxus.ch and @galaxus.ch.

Update I: What to do if you've been infected?

If you accidentally double-clicked on the image, all is not lost. Our internal IT department has decoded the e-mail’s code and exposed the purpose of the malware.

It modifies your computer or rather your browser in a way that allows it to visit .onion websites without the generally required proxy. These websites can be found in the so-called Dark Net. Furthermore, the attachment installs a certificate that allows your computer to access certain sites that are otherwise not accessible to the public. We currently do not know what exactly happens on these sites. It’s quite possible that this is where further software is obtained. According to our IT department, it is also possible that these sites are used as control pages for botnets or the like. With the connection to the .onion site, it’s theoretically possible to give your computer commands.

If you want to beat the infection, try the following steps:

  1. Open Firefox
  2. Enter about:config in the address field
  3. Search for network.dns
  4. The line network.dns.blockDotOnion is set to false in infected computers
  5. Change the value to true and access to the Dark Net will be blocked. According to the latest findings, this also makes the certificate ineffective.
  6. Remove the certificate according to the instructions provided by Microsoft or Apple

Although this does not undo all changes the malware has made to your computer, it does interrupt the communication channel to the Dark Net. According to our current state of knowledge, it also renders it harmless, even if some data remains on the PC. We are currently working on creating a manual on how to fully remove the malware.

Update II: The code is now fully decoded

Christian Margadant and his team have fully decoded the malicious code. We now know exactly what the phishers want, how they proceed and how you can rid yourself of the malicious script.

digitec_phishing_mails21.jpeg
Know-how
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 48Articles written
  • 0Questions asked
  • 0Questions answered
  • 0Ratings written
  • 0Ratings commented on
  • 0Discussions started
  • 0Posts written
More information...
  • 161 62

What the digitec phishers are really after

User

Dominik Bärlocher

Journalist. Author. Hacker. My subjects generally revolve around Android or Apple’s iOS. I also feel strongly about IT security. In this day and age, privacy is no longer a minor matter but a strategy for survival.

55 Comments

User haba_nvl

Super von Digitec die Spur aufzuzeigen, so kann man dazulernen. Besten Dank!

04.11.2016
Report abuse

You must log in to report an abuse.

User Bande128

Absolut! Ich komme des Öfteren nur auf die Website, um die Blogbeiträge zu lesen. Sehr spannend und informativ! Freue mich auf weitere Beiträge!

05.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User butzemanne

Danke für den Beitrag, ich finde es auch irgendwie cool das ihr versucht herauszufinden was die Phishing Datei genau macht :)

04.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User ademkujovi

Sehr interessanter Artikel! Danke für den ausführlichen Bericht! Man fühlt sich wie in einem Hacker-Film beim Lesen.

04.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User laurenteymard

Merci Digitec et Dominik.
Il est rare de lire sur un site e-commerce de tels détails sur des investigations en cours.
Belle preuve de transparence de votre part.

10.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User dharmapriya

Thank you very much for going through the trouble of translating the content to English, much appreciated.

14.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User fabianwuest

Leute, verlasst euch nicht auf Virenscanner! Die Signatur der Virendateien kann ziemlich einfach geändert werden und schon wird der Virus resp. Trojaner für etwa 2 Tage von KEINEM Antivirus erkennt!! Einfach Anhang nicht öffnen, resp. die automatische Makroausführung deaktivieren und Hirn ein!

05.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User R210395

Mein Vater hat letztens auch eine solche Mail bekommen, nur stammte diese von der "Post". Quittung war auch in einer .docx Datei sehr verschwommen dargestellt.

04.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User STIMO1989

Abgesehen davon das die Datei eine .docx ist, heisst die auch noch Quitting...schönes deutsch..

04.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User ntconsulting

I just received a mail this afternoon from "Digitec@digitech.eu". If it can help you this is the remote IP sending the mail 81.149.22.160.
The subjet of the mail is "Ihr Bestellung N-1132394 vom 10.11.2016", and of course "virus-free" tested by Avast ...

10.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User ManuelLuzern

Hatte die Woche auch ne Mail von "Digitech" mit angeblichlicher Rechnungsübersicht .. direkt in Spam Ordner.

05.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Anonymous

Hallo Dominik
Was sagt denn der Maiheader?
Dort sollte eigenlich die Absende-URL oder IP enthalten sein.

05.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User anditecco

Leider hat digitec seit mehreren Monaten aber auch ein wirkliches Problem damit, dass ihre Emails als Spam klassifiziert werden, weil die Zertifikate nicht stimmen.

Bitte räumt da auf!

05.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User varun.c.jain

Compliments on your impeccable command over English in addition to your mother-tongue. The article reads so well, even though I know it has been written by a non-native speaker of English.

14.11.2016
Report abuse

You must log in to report an abuse.

User Dominik Bärlocher

Hey there

Thank you for the kind words. Even though I am indeed a native speaker, this is not my work at all. I wrote the original German article and then moved on to further research into the phishing issue. The translation was done by Jessica who is also a native speaker. So all credit is hers. But I agree, she did an excellent job and so I've taken the liberty and forwarded your comment to her.

14.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User HappyCPU :)

Wer sowas anklickt ist einfach selber schuld und lernt vlt wenigstens was daraus

04.11.2016
Report abuse

You must log in to report an abuse.

User Hugoboss

Der Mensch ist neugierig. Frag mal Eva. Neugierde>rationales Denken.

04.11.2016
Report abuse

You must log in to report an abuse.

User ramockli2345

bei mir wurde es automatisch ausgeführt ohne diess zu öffen

04.11.2016
Report abuse

You must log in to report an abuse.

User timcbaoth

Möglicherweise genau wegen der Antivirus-Software: securityintelligence.com/ne...

08.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User rolfzubi

Windows 10 hat bereits einen Virenscanner installiert und automatisch aktiviert wenn kein anderer Virenscanner zusätzlich installiert wurde. Dieser arbeitet recht zuverlässig.

05.11.2016
Report abuse

You must log in to report an abuse.

User pcfreack12

Virenscanner sind eine gute Sache, jedoch kann man sich nicht darauf verlassen. Mit dem Virenscanner werden mehrheitlich Viren gefunden, welche schon gefunden wurden. Wurde ein Virus noch nicht entdeckt erkennt der Virenscanner auch den Virus nicht. Wichtig ist das Verhalten des Users.

13.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Deville_TGR

"Wir arbeiten daran, eine Anleitung für vollständige Beseitigung der Malware zu erstellen."
Also OS neu aufsetzen?

05.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User karakuyuibo

Hallo Leute. Da steht das die Leute keim Deutsch können aber mich hat riner angerufen der Perfekt Deutsch redet und da ich im der Schweiz lebe hat er dazu noch Perfekt Schweizer Deutsch geredet. Freue mich auf ne antwort.

Mfg

05.11.2016
Report abuse

You must log in to report an abuse.

User pcfreack12

Ja das kann sein. Wie den Menschen bewusst sein muss, auf der Dunklen Seite gibt es Kekse. ;D
In der Kriminellensparte ist es einfacher viel Geld zu verdienen. Da ist es auch möglich, dass ein Schweizer sich auf so ein Abenteuer einlässt. Stell dir vor du verdienst einfach 20'000-250'000 Franken am Tag.

13.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User hayloftit

Hallo Digitec-Team
Super, dass ihr den Leuten erklärt, wie solche Mails in Umlauf kommen und dass das scheinbare Unternehmen keinen Einfluss auf solche E-Mails hat. Zur Ergänzung: Die E-Mail welche ich bekommen habe, wurden mit der Absenderadresse digitech.com und nicht digitec.com versendet. Gruss

06.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Anonymous

Aufklären und warnen anstelle totstellen und schweigen, wie es viele andere machen!
Sehr vorbildlich, Digitec!

09.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Redauser

Visto che tutti commentano sempre solo in tedesco ecco il mio contributo in italiano.
Bravi ragazzi!

10.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User david.ruzicka

Vous devriez aussi simplifier vos noms de domaines utilisés pour l'envoi d'email aux clients:
Il est facile de confondre: @digitecgalaxus.ch et @galaxus.ch
Avec: @digtiecgalaxus.ch et @galexus.ch par exemple...

10.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User andreas_buhler

There are several ways to counter the spoofing of a email address. The easiest is to add a SPF record for your domain (digitech.ch), which it does not currently have. A good place to check it on mxtoolbox.com.

11.11.2016
Report abuse

You must log in to report an abuse.

User speedy_86

But the domain digitecH.ch is not a digitec domain...

14.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User meile

Man sollte auch schreiben, dass Betrüger neu ".info"-Domäne kaufen, die sehr änhlich wie echten CH-Firmen aussehen. Diese Domäne sind nicht teuer. Die Mails werden mit einem kostenlose Dienste gehostet. z.B.: miele-produkte.info, post-ch-privatkunden.info und cncmechanik.info (Garantiert Betrüger)

16.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User chew

Als Mail Administrator muss ich in diesem Kontext auch meine Mail Administratoren Kollegen in die Pflicht nehmen!
Digitec hat einen vorbildlichen spf record "v=spf1 ip4:77.59.236.48 ip4:77.59.236.49 ip4:77.59.236.36 include:mail.zendesk.com include:successfactors.eu -all", was soviel heisst wie...

05.11.2016
Report abuse

You must log in to report an abuse.

User chew

... was soviel heisst wie: Nur die aufgelisteten IP-Adressen sind von digitec autorisiert digitec.ch-emails zu verschicken.
Mein eigener mail server würde noch vor dem Empfangen des Inhalts das mail gar nicht entgegen nehmen.
Ganz offensichtlich gibt es mail server, die die spf Richtlinien von digitec nicht folgen und die spam mails den Kunden in die mailbox stellen.

05.11.2016
Report abuse

You must log in to report an abuse.

User chew

Sorry, hab gerade gesehen, dass die mails gar nicht von digitec.ch Adressen geschickt wurden, sondern von Digitec@ropa-maschinenbau.de.
Vergesst meine Vorwürfe an die Mail Administratoren :-).

05.11.2016
Report abuse

You must log in to report an abuse.

User Anonymous

Als Mail Admin Kollege muss ich dich in die Pflicht nehmen - SPF ist grundsätzlich eine gute Idee schlecht umgesetzt. Ich würde mich nie im Leben dazu hinreissen lassen bei einem Hardfail ein Mail abzulehnen...

01.12.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User matthias_a

Eigentlich schade dass sich Zertifikate/signierte Mails und Payloads nie wirklich durchsetzen konnten. So könnten die e-commerce-Betreiber ganz einfach ihre Kommunikation als echt erkennbar machen. Das Problem: schlecht konfigurierte Mailclients und Webmaildienste lassen die Mail dubios aussehen.

06.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User kelvin83

Am beste bestellen wir digitec nicht mehr, oder? sorry schlechter scherz.

10.11.2016
Report abuse

You must log in to report an abuse.

User Gooble Gobble

Am Besten immer im Voraus bezahlen ;)

01.12.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User Infogames

Bonjour,

Si votre clientèle a un doute concernant une commande dont il n'a pas connaissance, il suffit de se rendre dans la page "Commande" (digitec.ch/fr/Order) et/ou "Facture" (digitec.ch/fr/Invoice/ListI...) après s'être connecté sur sa session du site officiel.

10.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User rogerio011

Celui qui comprends cet article n'est surement pas stupide de croire qu'un e-mail pareil vient de chez digitec.. pour les autres.. bonne chance ^^

10.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User sjlyons50

The digitec.com domain name has been in existence since June 27, 1997. At the time of registering a domain name you can't use it for the email addresses required during the registration process as it doesn't exist at that time, so an alternative is used. Good hunting, by the way!

19.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User floflo96

Bon du coup après cet article tous les e-mails Digitec et Galaxus passe en spam sur Gmail... C'est vraiment chiant... A croire que les gens ne savent pas lire l'adresse d'envois ou faire la différence entre les faux mail et les vrais...

01.12.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User mw

interessanter Bericht, ich empfehle schon lange jedem mit dem Gratisprogramm Malwarebytes regelmässig das System zu scannen, ihr werdet staunen was der alles so findet was normale Antivirenprogramme nicht finden, am einfachsten zu installieren über ninite.com/

04.11.2016
Report abuse

You must log in to report an abuse.

User xama100

Besonders Anti-Viren Programme sollte man von der offiziellen Webseite des Herstellers runterladen: malwarebytes.com

Ich rate von der Nutzung von solchen dubiosen Quellen wie ninite ab.

04.11.2016
Report abuse

You must log in to report an abuse.

User mw

Sorry aber ninite.com ist definitiv vertrauenswürdig, da kannst du dich gerne im Netz umschauen, wirst nirgendwo etwas Negatives finden. Ich arbeite seit über 30 Jahren als PC-Supporter und weiss von was ich rede. ninite.com lädt die Software auch direkt von malwarebytes.org und klickt auch automatisch von allen anderen Programmen die Ad-Ware und sonstigen Müll weg. dafür lege ich die Hand ins Feuer. Probiert bitte malwarebytes.org aus und ihr werdet staunen was auf eurer Kiste unbewusst abgeht.

04.11.2016
Report abuse

You must log in to report an abuse.

User RePao

ninite.com ist definitiv ok!

PS: hab seit längerem Win10 und nur der mitgelieferte Defender, eben mit der Bezahlversion von Malwarebytes eine detaillierte Tiefenprüfung durchgeführt. Resultat = nichts aber auch gar nichts gefunden :) Für mich eine Bestätigung dass der im Lieferumfang von MS enthaltene Defender absolut alltags-tauglich ist. Muss dazu aber sagen, dass ich dubiose Orte von Natur aus meide, auch im Netz ;-)

05.11.2016
Report abuse

You must log in to report an abuse.

User mw

Defender und ab und zu ein Scan mit der Gratisversion von Malwarebytes reicht vollkommen aus

05.11.2016
Report abuse

You must log in to report an abuse.

User Infogames

Sie können ZHP Cleaner auch nächstes verwenden, ist Malwarebytes nicht alle, ZHP es beschäftigt sich hauptsächlich mit Entdecker Malware Internet

Vous pouvez aussi utiliser ZHP Cleaner à coté, Malwarebytes ne trouve pas tout, ZHP il s'occupe surtout des malwares d'explorateurs d'internet.

nicolascoolman.com/download...

10.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment

User ramockli2345

bei mir war das nicht so, bei mir wurde im hinterbrund ein program instaliert die eine ferbindung zu einen proxy server herstelt und dateien versendet und entpfangt, die massnamme ist klar das komplete system neuinstalieren oder das bekante Tool von (Heise Medien GmbH & Co. KG) c`t Desinfect nutzen

04.11.2016
Report abuse

You must log in to report an abuse.

User ramockli2345

dabei muss man desinfet kaufen mit den aktuelen Heft c't 12/2016 inkl. Desinfec't DVD von 4.50 Euro
was sonst gemacht werden kann musste sie ein IT spezialisierst fragen außer sie wissen es besser

04.11.2016
Report abuse

You must log in to report an abuse.

User xama100

n'kostenloser Virenschutz wie zB Avira oder Avast tuts auch.
Oder man öffnet diese Anhänge gar nicht erst.

04.11.2016
Report abuse

You must log in to report an abuse.

User chrugail

Das Problem bei heutigen Phishing-Angriffen ist, dass die Payload immer nur an ein paar 100 Empfänger gesandt wird, danach für den nächsten Angriff etwas angepasst, ..
So ist es für Virenscanner fast nicht möglich, die Malware rechtzeitig zu erkennen. Zwei Tage später sind die neuen Varianten bekannt - was aber keinem hilft, der reingefallen ist.
Darum gilt auch heute: erst denken, dann klicken.

05.11.2016
Report abuse

You must log in to report an abuse.

You must be logged in to reply to a comment


Please log in.

You have to be logged in to create a new comment.

Corporate logo