Fw: Important! – HELO WORLDST-UQ3K9Q0


Es ist mal wieder Spam-Time !!! :-(

Momentan rollt wieder mal eine extreme Spamwelle durchs Land… Leider auch in unserem Namen…

Eins vorweg:

WIR VERSENDEN NIEMALS E-MAILS MIT DEM BETREFF “Fw: Important” ODER “Try it out” !!! NIEMALS !!! NICHT ÖFFNEN BZW. DEN ENTHALTENEN LINK ANKLICKEN !!!

Wer betroffen ist und sich nicht für Mutmaßungen usw. interessiert, sollte bitte nach unten scrollen und den letzten Teil (rot) lesen!

Der erste Gedanke ist natürlich gewesen, daß wir uns Schadware eingefangen hätten, die sich im E-Mail-Client umsieht – und in unserem Namen alle möglichen Kontakte, z.B. aus dem Adreßbuch anschreibt… Aber ist es wirklich so?

1) Die benutzten Betriebssysteme sind aktuell bzw. werden zumindest noch “erweitert” supportet – sprich, etwaige Sicherheitslücken werden nach wie vor durch Updates gefixt.
2) Die Systeme verfügen über vernünftige (!) Antivirensoftware.
3) Sämtliche einschlägigen Tools (HiJackThis, MBAM, OTL, TDSSKiller) finden nichts.
4) Es werden sowohl Kontakte angeschrieben, die im Adreßbuch stehen, als auch Kontakte, die dort nicht verzeichnet sind…
5) Es werden auch gänzlich Fremde angemailt, die überhaupt noch nie im E-Mail-Client aufgetaucht sind – weder als Absender, noch als Empfänger !!!
6) “Wir” spammen uns selbst zu (siehe 7) – zumindest legt das die angebliche Absenderadresse nahe, auch wenn die Mail einen anderen Absendernamen hat… Dieser Name stammt mal aus dem Adreßbuch, mal auch nicht – dann haben wir aber zumindest schon Mails vom echten “Namensträger” erhalten – oder wir haben den Namen überhaupt noch nicht gesehen…
7) In den E-Mail-Headern tauchen unsere Adressen empfängerseits auch auf (siehe 6). Witzigerweise mit den Namen anderer Konten, mit Fantasienamen – mit Namen von Kontakten (egal, ob im Adreßbuch eingetragen oder nicht) oder gänzlich fremden Namen – oder auch ohne Namen, dann dafür mit dem local-part der Mailadresse (vor dem @)…
8) Die zum Versand genutzten bzw. mißbrauchten  Adressen stimmen auch nur partiell mit den vorhandenen bzw. eingerichteten Konten überein. So werden z.B. von 13 im Client eingerichteten Adressen / Konten (mit verschiedenen Domains) nur 7 benutzt …
9) Der X-Mailer – sofern nicht gefälscht – ist in allen Fällen Outlook 15 (2013), welches hier gar nicht im Einsatz ist.

Ehrlich gesagt sieht das für uns nicht so aus, als wenn wir Schadware auf dem Rechner / den Rechnern hätten. Dazu ist das Schema irgendwie zu wenig erkennbar.

Eine Gemeinsamkeit ist dann aber doch aufgefallen: Alle “entführten” Mail-Adressen stammen aus einem Vertrag – sie werden also über einen Account / ein “Kundencenter” verwaltet !!!

Gucken wir uns doch mal eine typische Mail an:

Return-Path: <info@f*e*t-b**s.de>
Received: from [212.227.15.41] ([212.227.15.41]) by mx.kundenserver.de
(mxeue005) with ESMTPS (Nemesis) id 0MhJvZ-1a1R8o2sEb-00MJZC for
<info@f*e*t-b**s.de>; Thu, 24 Sep 2015 22:49:59 +0200
Received: from mailout06.albacom.net ([217.220.33.6]) by mx.kundenserver.de
(mxeue005) with ESMTPS (Nemesis) id 0MJJ0A-1ZhycX2mxG-002smH for
<email@e*t**o.de>; Thu, 24 Sep 2015 22:49:59 +0200
Received: by mailout06.albacom.net (Postfix, from userid 496)
id E09B14E9A98; Thu, 24 Sep 2015 22:49:58 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by mailout06.albacom.net (Postfix) with ESMTP id CC4F14E998A;
Thu, 24 Sep 2015 22:49:58 +0200 (CEST)
X-Virus-Scanned: amavisd-new at albacom.net
Received: from mailout06.albacom.net ([127.0.0.1])
by localhost (mailout06.albacom.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 3YN2R4DyZmer; Thu, 24 Sep 2015 22:49:57 +0200 (CEST)
Received: from WORLDST-UQ3K9Q0 (r167-58-7-59.dialup.adsl.anteldata.net.uy [167.58.7.59])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
(Authenticated sender: account@condy.it)
by mailout06.albacom.net (Postfix) with ESMTPSA id B704C4E97A6;
    Thu, 24 Sep 2015 22:49:34 +0200 (CEST)
From: P######o <info@f*e*t-b**s.de> (0)
To: “info” <info@p######o.de> (1),
“email” <email@e*t**o.de>,
“info”
<info@f#####r-p####o.de> (2),
“info” <info@d*s*o.com>,
“info” <info@d*s*o.com>,
“info” <info@d*s*o.com>,
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“Olaf Hilgendorf” <email@e****o.de> (3)
,
“information” <information@t**s**o.de>,
“email” <email@e*t**o.de>,
“info” <info@d*s*o.com>,
“email” <email@e*t**o.de>,
“info” <info@d*s*o.com>,
“webmon” <webmon@e*t**o.de>,
“e*t**o” <e*t**o@trash-mail.com> (4)
,
“info” <info@d*s*o.com>,
“info” <info@d*s*o.com>,
“Olaf Hilgendorf”
<email@e*t**o.de> (3),
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“Olaf Hilgendorf” <email@e*t**o.de> (3)
,
“S### M#####s” <email@e*t**o.de> (5),
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>,
“T##### B####r” <t#####.b####r@gmx.de> (6),
“info” <info@d*s*o.com>,
“info” <info@d*s*o.com>,
“Olaf Hilgendorf” <email@e*t**o.de> (3)
,
“email” <email@e*t**o.de>,
“info” <info@d*s*o.com>,
“email” <email@e*t**o.de>,
“EiTiCo.de” <email@e*t**o.de> (7),
“information” <information@t**s**o.de>,
“email” <email@e*t**o.de>,
“email” <email@e*t**o.de>
Date: Thu, 24 Sep 2015 22:49:26 +0200
Message-ID: <000060b1907b$c7768bb4$11a13770$@f*e*t-b**s.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_0001_04FF1368.0245850D”
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdD1O9NKea+72BjO55ljpB1aGdRI7A==
Content-Language: en-us
X-Antivirus: avast! (VPS 150924-1, 24/09/2015), Outbound message
X-Antivirus-Status: Clean
Envelope-To: <info@f*e*t-b**s.de> 
Subject: [SPAM?] Fw: important

This is a multipart message in MIME format.

——=_NextPart_000_0001_04FF1368.0245850D
Content-Type: text/plain; charset=”us-ascii”
Content-Transfer-Encoding: 7bit

Hey!

Important message, please visit <http://m##########j.com/c######e.php?tah5r>

P######o (8)

——=_NextPart_000_0001_04FF1368.0245850D
Content-Type: text/html; charset=”us-ascii”
Content-Transfer-Encoding: quoted-printable

Interessant ist beim (angeblichen) Absender und bei den Empfängern folgendes:
(0) – Der Name stammt von jemandem, der uns sonst (ungefragt) nur mit Newslettern versorgt  – die Adresse ist unsere – schließlich geht es ja darum, daß “wir” (angeblich) spammen…
(1) – echte E-Mail-Adresse des Newsletterversenders siehe (0)
(2) – unbekannte Adresse (nie etwas von dem Abs. erhalten oder an ihn gesendet)
(3) – weder in der E-Mail-Postfach-Konfiguration, noch im Client ist dieser Name mit der E-Mail-Adresse so gepaart; aber
a) Olaf Hilgendorf könnte so bei Bekannten (und ebenfalls Betroffenen) in Adreßbüchern hinterlegt sein;
b) der Name könnte als Paar mit der Adresse aus den Headern erhaltener Mails stammen (z.B. wg. Pkt. a);
c) die Zuordnung kann sich auch aus der Zugehörigkeit der Mail-Adresse zum Kundenkonto / Account / Vertrag ergeben – letzterer läuft auf “Olaf Hilgendorf”…
(4) – an diese Adresse wurde mal was verschickt – zu Testzwecken
(5) – der gute Mann ist ein Kontakt, er hat aber eine eigene E-Mail-Adresse und nutzt nicht eine von uns; er steht definitiv NICHT im Adreßbuch; lediglich frühere Mails an ihn und von ihm liegen in Postfach-Unterordnern auf dem Server
(6) – dito bzw. siehe (5); allerdings beschränkt sich das Geschehen(e) auf eine einzige Mail, die wir vor Jahren mal erhalten (und leider damals auch noch übersehen) haben
(7) – siehe 3a / 3b
(8) – cool – die Unterschrift paßt wenigstens zum Absendernamen i.S.v. (0) ;-)

Es sieht also daher so aus, aus wenn jemand Zugriff auf den Provider gehabt hätte… Und zwar hintenrum. Denn über ein normales Social Hacking, Brute Force bzw. eine Wörterbuchattacke käme man vielleicht (u.U. erst nach 128 Jahren *lol*) ins Kundencenter – aber dort sieht bzw. findet man die Paßwörter nicht. Man könnte neue vergeben, um Zugriff auf die ganzen Mailkonten zu erhalten – das ja. Aber dann würden unsere Clients hier den Dienst verweigern! Wiederum ist es so, daß man von Providern erwarten können sollte, daß Paßwörter nur verschlüsselt in Datenbanken abgelegt werden, falls jemand auf diese Zugriff hätte… Fragen über Fragen!

Wären wir jetzt beim “Rosa Riesen” bzw. bei der Telekom, wäre der Fall klar. Dort hat man unlängst zähneknirschend zugeben müssen, daß man “beraubt” wurde – Angreifer haben eine nicht unbeträchtliche Menge Zugangsdaten zu E-Mail-Konten erbeutet… (Soviel zum Thema PW-Verschlüsselung… – oder wie soll man das sonst verstehen? Haben die Diebe etwa MD5-Rainbow-Tables zur Entschlüsselung benutzt?)

http://www.golem.de/news/security-massenhaft-spam-ueber-t-online-konten-versendet-1508-115844.html
http://www.bild.de/digital/internet/t-online/t-online-hack-42244992.bild.html

Andere Anbieter sind jedenfalls offiziell bislang nicht betroffen bzw. haben sich zumindest diesbezüglch noch nicht geoutet. (Das war zumindest mein Kenntnisstand, als ich diese Zeile schrieb. Mehr dazu weiter unten…)

Tja – nehmen wir mal frecherweise an, 1&1 wäre auch betroffen – schließlich stehen da – wie bei T-Online – auch nur ein paar Computer rum… ;-) ;-) ;-) Das würde zumindest erklären, warum die Rechner hier beim Malwarecheck als “unkompromittiert” abschneiden…

Folgendes Szenario: Man hat “vertragsweise” (indem ein Kundenaccount nach dem anderen abgeklappert wurde) E-Mail-Zugangsdaten erbeutet – und von mir aus auch noch die Paßwörter entschlüsselt, sofern diese nicht im Klartext vorliegen…  Vielleicht gibt es in der Datenbank ja sogar eine Tabelle mit folgenden Spalten:

id | emailadresse |  pw | absendername | kdnr

Dann wäre das ja wohl ohne Weiteres möglich… Fix eingeloggt, Mails auf dem Server nach Empfängern “gegrabbt”, in einen Pool, der der Kundennummer zugeordnet wird, gepackt…

Obwohl wir selbst Adresse A benutzen, um die Kontakte 1-5 anzuschreiben, Adresse B für die Kontakte 6-15, Adresse C für die Kontakte 16-75 und  – in anderen Belangen bzw. Angelegenheiten – die Adresse D für die Kontakte 1, 23, 46, 68 und 72, könnte man jetzt die Adressen A-D nutzen, um alle 75 Kontakte zuzuspammen. Hinzu kommen noch einige Adressen aus Pools, die zu anderen Kunden(nummern) gehören… Obendrein nimmt man die geklauten Absendernamen und verteilt die fast wahllos auf erbeutete E.Mail-Adressen. Und schon hat man ein Sammelsurium aus angeblichen Absendernamen, die man zwar kennt, und angeblichen Mailadressen, die man auch kennt – die aber nicht zusammenpassen. Um die Verwirrung (und die Reichweite) noch zu steigern, werden dann noch ein paar Daten aus anderen geknackten Accounts reingeballert – fertig. Und Empfängernamen (generiert oder aus dem Gesamt-Absenderpool gewonnen) und -adressen werden obendrein auch noch gemischt.

Hat man erst einmal Zugriff auf eine entsprechende Datenquelle, sollte ein solcher Algorithmus bzw. ein solches Skript recht schnell zusammengeklatscht sein – ein paar multidimensionale Arrays, etwas array_push(), etwas shuffle(), ein wenig rand() – fertig. Dann noch ein offenen Relayserver, der nicht auf den Blacklists steht. Ready – steady – go! Let’s spam !!!

Der Knackpunkt ist aber nach wie vor: Wo kommen die Daten her? Nach der obigen Analyse ergibt sich scheinbar eine Kausalität zwischen Vertrag – Namen – Adressen – Empfänger… Und das deutet auf den Provider. Denn die uns gänzlich unbekannte Empfängeradresse (2) existiert hier auf keinem der Rechner – weder in irgend einem E-Mail-Client noch sonstwo! Sofern sie nicht im Klartext auf einer Internetseite stand, die dann per ungewolltem Zwangs-Popup bzw. einem Layer in den “Cache” bzw. die “Temporary Internetfiles” gewandert ist, kann sie NIRGENDS auf dem Rechner vorhanden sein! Für den Berufszweig, in dem die Firma tätig ist, hat sich hier noch nie jemand interessiert…. Außerdem müßte die unfindbare Malware dann auch noch den Browsercache durchforsten, nur um E-Mail-Adressen potentieller Opfer zu finden… Also sollte man davon ausgehen können, daß zumindest die Empfänger-Adressen aus anderen Quellen stammen. Nun gut – es gibt ja Datenbanken zu kaufen… :-( Und Harvester…

Aber trotz allem: Wenn Zugriff auf die Daten im Client vorläge – wieso beschränkt sich der Mißbrauch nur auf die Konten eines Vertrages – und erstreckt sich nicht auch auf die anderen vom Client zu verarbeitenden Mail-Adressen? Werden dann wirklich Mails nach potentiellen Empfängern durchsucht, weil manche Empfänger echte Kontakte sind -. aber nicht im Adreßbuch stehen?

Uns gibt das jedenfalls sehr zu denken.

Headeranalyse:
http://www.gaijin.at/olsmailheader.php

Weitere Links zum Problem:
http://www.netzwelt.de/news/154262-gefaehrliche-e-mails-deutsche-telekom-warnt-neuer-spam-welle.html
https://www.reddit.com/r/24hoursupport/comments/3k4y3t/something_is_sending_spam_emails_through_my_edu/

Weitere Infos / Mutmaßungen / Betrachtungen:
18.08.2015 – Heise: Web.de/GMX.de/1&1 auch betroffen – nur mobil und ohne Cookies… (ACH SO ??? Hm…)
18.08.-21.09.2015 – Administrator.de: Quelle der Daten nach wie vor unklar
19.08.2015 – Blogschrott: Fiese Spam-Mail-Attacken
19.-20.08.2015 – Heise: Forenübersicht “Deutsche. Telekom warnt vor Spamwelle”
20.09.2015 – agoraBlog: WORLDST-UQ3K9Q0 – …unterschätzter neuer Super-Hack??


Fazit nach dem Lesen diverser Beiträge:

• Die Spamwelle läuft mindestens seit Mite August 2015.
• Es sind nicht nur Konten bei T-Online und Arcor betroffen, sondern auch Konten bei Web.de, GMX und 1&1 (wenn auch “nur” von 20.000 Mobilnutzern…).
• Befindet sich ein Virus auf den Rechnern der Versender? Vermutlich nein – Virenschutzsoftware findet nichts.

Der Link in den Spam-Mails ist potenziell gefährlich! Nicht anklicken bzw. öffnen!
Das Paßwort des Mailpostfachs könnte evtl. die Schwachstelle sein und sollte geändert werden, auch wenn das in etlichen Fällen NICHT half…
Der spammende Client nennt mittels HELO den Namen WORLDST-UQ3K9Q0.
• Der X-Mailer ist in allen Fällen  – sofern nicht gefälscht – MS Outlook 15 (2013).
• Die zugespammten Kontakte wurden wahrscheinlich aus ALLEN vorhandenen Mails extrahiert und bunt durcheinandergewürfelt!

• Die Mails stehen nicht im Ordner “Sent” / “Gesendet” / “Gesendete Objekte”.
• Versand erfolgt aus Uruguay, Italien, Japan usw.

Was kann man also tun?

• Auf jeden Fall sollte man (als angeblicher Versender) die Paßwörter der E-Mailkonten ändern und sein System scannen. Vorsichtshalber. Evtl. gibt es Abwandlungen / Modifikationen mit gleichem Verhalten und anderer Ursache!
• Und wer (als Empfänger) zufällig eine solche Mail bzw. den enthaltenen Link geöffnet hat, sollte sein (hoffentlich aktuelles) System ausgiebig bezüglich eines Malware-Befalls untersuchen. Manche Seiten sind gefährlich (Malware), andere Links führen zu Casinos oder Seiten, die “7.600,- Euro Nebenverdienst in nur einer Woche” oder ähnlich dubiosen Müll bewerben…

Viel mehr kann man eigentlich gar nicht tun (siehe Nighthawks Kommentar auf https://answers.avira.com/de/question/neuer-emailspam-bot–fw-important-40938). Spam von gefälschten Absendern, sog. E-Mail-Spoofing (es reicht ja schon das vermeintliche “Abbestellen” eines “Newsletters” von Spammern – schon ist bekannt, daß die Adresse existiert… – oder gar der Versand an eine Adresse, sofern kein “Mail delivery failed: returning message to sender” gemeldet wird…) wird es wohl immer geben…

Insofern ist das einzige, was wirklich helfen würde, die betroffene(n) Mail-Adresse(n) aufzugeben und sich (eine) neue zuzulegen, nachdem man ALLE Kontakte darüber informiert hat. Der Spam mit der/den alten Adresse(n) hört dann zwar nicht zwingend auf – aber zumindest hat man gute Argumente, daß man selbst nicht der Spammer ist… Das hilft dann aber u.U. auch nur bis zur nächsten Newsletter-Abmeldung – oder bis zur nächsten erfolgreich ausgelieferten “Ping”-Mail, die die Empfängeradresse wegen eines fehlenden Fehlers verifiziert … ;-)

PS / Update:
Dasselbe trifft mittlerweile übrigens auch auf Mail mit HELO=WIN-NPPN1JPV75J zu!
Siehe dazu auch der Beitrag “Ganz kleine Eimer…” vom 09.12.2015.