CryptoKitties Youtube-Kooperation Scam

Ein weiterer Phishing-Versuch der Kooperation, der sich an Youtuber richtet.

Diese Woche habe ich einige Mails bezüglich einer Kooperation mit Cryptokitties bekommen. Gestern kam die gleiche E-Mail, dass Pierre Cardin mit meinem kleinen YouTube-Kanal zusammenarbeiten möchte. Die Nachrichten sind immer die gleichen, es wird versprochen, dass man viel Geld ausgeben muss und viel Geld bekommen wird.

Ich kenne die Geschichte, und normalerweise ist dies ein lahmer Versuch, die Benutzer zum Herunterladen von Malware zu bewegen. Ich habe also auf die E-Mail geantwortet und einen Link zum Herunterladen eines Medienkits erhalten. Der Mailserver, den sie verwenden, ist von „centrum.cz„, und soweit ich sehen kann, bieten sie einige kostenlose Mailadressen an.

Das Media-Kit wird in einem Google Drive-Konto gehostet und ist passwortgeschützt.

Der Download ist sehr klein, weniger als ein Megabyte. Es handelt sich um eine ZIP-Datei, die ich nur auf meiner virtuellen Linux-Maschine öffne. Natürlich ist die Datei passwortgeschützt. Das ist ein alter Trick, damit Antiviren-Software die Datei beim Herunterladen nicht überprüfen kann.

Nachdem wir die kleine Datei geöffnet haben, können wir sehen, dass die Größe gerade massiv zugenommen hat. Dies ist ein weiterer Trick, der als Archivbombe bezeichnet wird. Im Allgemeinen empfehle ich immer, diese Dateien hochzuladen und mit Diensten wie VirusTotal.com zu überprüfen, aber die Überprüfung großer Dateien ist schwierig, da die Datei hochgeladen werden muss und diese Dienste oft ein Größenlimit haben.

OK, sehen wir uns die extrahierten Dateien an. Hier haben wir den üblichen Verdächtigen, eine mp4.scr-Datei. Eine SCR-Datei ist nichts anderes als ein Windows-Bildschirmschoner, der nichts anderes ist als eine .exe-Datei. Sobald Sie diese Datei auf Ihrem Windows-Rechner starten, wird Ihr Computer infiziert.

Der Upload dauerte mit meiner schnellen Internetverbindung etwa 10 Minuten und war keine Enttäuschung:

Die positive Seite ist, dass 10 Scanner erkennen, dass etwas nicht stimmt. Auf der Schattenseite der Antiviren-Software haben 41 von 61 noch nichts entdeckt. Es besteht also eine gute Chance, dass Ihr lokaler Virenscanner Sie nicht daran hindert, die Datei auszuführen und Ihr System zu infizieren.

Wenn also etwas zu gut klingt, um wahr zu sein, ist es das in der Regel auch.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.