Telekom E-Mail mit dem Betreff: RechnungOnline Monat Mai 2014
Es tobt derzeit wieder eine neue Phishing Welle.
Zahlreiche Mails mit Telekom Rechnungen oder Vodafone Rechnung (EXE in ZIP) werden derzeit in hauptsächliche deutsche Postfächer geliefert. Betreff ist “Telekom E-Mail mit dem Betreff: RechnungOnline Monat Mai 2014, Buchungskonto: 2962325641” oder “Ihre Rechnung vom 14.05.2014 steht als PDF bereit”.
Erkennungsrate liegt wieder einmal unter 5%.
Die Strings im File sehen stark nach “Cridex” aus, den ich Mitte Januar bereits analysiert habe.
Das sind die derzeitigen Indikatoren of Compromise (IoCs):
C2 Domains
===================
flusegame.eu
flusegames.eu
humpackers.org
interyou.pw
162.220.246.105 (US)
195.168.1.121 (Slowakei)
> brauchbar
USER AGENT
===================
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
> unbrauchbar
http://blogs.msdn.com/b/ie/archive/2010/03/23/introducing-ie9-s-user-agent-string.aspx
URL Request
===================
POST /70144646/974aade0/ HTTP/1.1
POST /3af6d48d/ec8a4b32/ HTTP/1.1
> brauchbar
Regex: POST \/[0-9a-f]{8}\/[0-9a-f]{8}\/ HTTP\/1\.1
File System
===================
Files Created
VM 1 XP
C:\Documents and Settings\Administrator\Application Data\Microsoft\lmyaudio.exe
736A96BBAD59864F27F3599D88D28EA2
C:\Documents and Settings\Administrator\Application Data\6574676.bat
82E21F407E2161E350B7B90C89BFB6E4
WM 1 Win7
C:\Users\admin\AppData\Roaming\3818398.bat
7815C2E3F3EC32232A8532C298E0458F
C:\Users\admin\AppData\Roaming\Microsoft\hxxshare.exe
736A96BBAD59864F27F3599D88D28EA2
VM 2
%UserProfile%\APPLIC~1\MICROS~1\WWCCOM~1.EXE
VM 3
C:\Documents and Settings\User\Application Data\Microsoft\rqvupdate.exe
736a96bbad59864f27f3599d88d28ea2
C:\DOCUME~1\User\LOCALS~1\Temp\1.tmp
bdb072ca6b6980addcad385462379c21
C:\Documents and Settings\User\Application Data\1478967.bat
e7f01e2614ea2a1202c2c1f04f930343
> MD5 brauchbar:
736a96bbad59864f27f3599d88d28ea2
=== Links
Infos
http://www.mimikama.at/allgemein/trojaner-warnung-telekom-e-mail-mit-dem-betreff-rechnungonline-monat-mai-2014-buchungskonto-2962325641-sic/
Virustotal Analyse ZIP
https://www.virustotal.com/en/file/4f54a33986c83dd6459986c730072c8e8b82386de9f517d95d8e2136faabd781/analysis/
Threat Expert Report
http://www.threatexpert.com/report.aspx?md5=eba99ce062c104aae07a4ed39edfe6c3
http://www.threatexpert.com/report.aspx?md5=2989f59501ae96035b8ccdf67f4d0ae0
Analyse Malicious EXE
https://malwr.com/analysis/NTRjNzczYzVlNjE4NGI5NThlZjk4NWUzZjAyMTIyY2Q/
