Wir sind auf Youtube aktiv und immer mal wieder gibt es Anfragen, so auch eine auf den ersten Blick unscheinbare Anfrage mit dem Titel “YT collboration”.
Wer einen erfolgreichen Youtube-Kanal betreibt, bekommt regelmäßig Anfragen. Produkte, Webseiten und Dienste könnte man ja mal vorstellen. So auch diese E-Mail:
Hello, my name is Juliana, I am the public manager. You have very interesting and unusual content. Our company is interested in cooperation with promising people like you. Our software and products are used in over 15 countries. We are constantly inspired by our users and strive to create simple and user-friendly software for their needs. We suggest you make a 30 second or 1 minute promotional video in which you demonstrate the ease of use of our product. If you agree with the offer, please review the item.
Product link
https://fromsmash.com/upddaterpcpro
Video example of how an advertisement should look
https://fromsmash.com/videoexampleupddaterpcpro
Download der Dateien
Unüblich ist, dass hier weder der Produktname noch die Firma oder Webseite genannt werden. Stattdessen gibt es zwei Links. Bei der Webseite handelt es sich um eine Download-Seite. OK, laden wir das Ganze mal sicherheitshalber in der Linux-VM herunter.
Nach dem Download haben wir zwei ZIP-Dateien. Der Inhalt ist suspekt.
Die Beispielvideos sind SCR-Dateien. SCR-Dateien? Das sind Windows-Bildschirmschoner und damit ausführbare Programme. Beim zweiten handelt sich um eine .exe Datei. Diese ist verschlüsselt abgelegt, das Passwort aber zum Glück in der “info.txt”.
Auffällig ist nur die Dateigröße von 680 MB, ganz schön groß. Wer sich fragt warum? Nun, ich teste alle Dateien vorher mal gründlich mit VirusTotal, dies geht aber nur mit Dateien bis maximal 450 MB.
Wie praktisch, wenn man die Dateien so gestaltet, dass die größer sind und damit nicht gescannt werden können. Natürlich können wir auch die ZIP-Dateien scannen. Diese laufen bei allen Scannern erstmal durch nur “Baidu” erkennt hier eine Archiv-Bombe. Der Rest hält die Dateien für harmlos.
Fazit
Die Sache zeigt mal wieder, dass wir sehr vorsichtig sein müssen mit Dingen, welche über unsere Kommunikationskanäle reinkommen. Die Sache ist ganz gut gemacht, spricht die richtige Zielgruppe an und erstmal schöpft man bei so einer Abfrage keinen Verdacht.
Update 20.02.2021
Da ein Telegram-Kontakt mit angegeben war, habe ich mal die Leute kontaktiert:
Bisher keine Antwort! Würde mich auch wundern, wenn da noch etwas kommen würde. Immerhin haben die Leute nun auch eine Webseite aufgesetzt, welche die Seriösität unterstreichen soll. Am Ende ist es aber nur eine schnell zusammengeklöppelte Vorlage mit Platzhaltern und der Downloadmöglichkeit der Archiv-Bombe.
