Influencer scheinen inzwischen öfter als Zielgruppe für Phishing zu gelten. Angebliche Promotion-Zusammenarbeit mit Nike.
In letzter Zeit erreichen mich öfter “Anfragen” bzgl. einer Zusammenarbeit mit Firmen. Gelockt wird mit großen Summen für wenig Arbeit. Zielgruppe scheinen Influencer aller Art zu sein, Youtube, Instagram. Das hat den Vorteil, dass hier die Adressdaten leicht verfügbar sind.
Heute ist es angeblich Nike, welche mit 1500 Dollar und kostenlosen Produkten werben für ein kleines Video. Man muss nur den Katalog herunterladen.
Nagut, dann machen wir das mal und schauen was dahinter steckt. Natürlich nicht unter Windows, sondern in der isolierten Umgebung einer virtuellen Linux-Maschine.
Der Download ist schnell erledigt. 1,9 MB sind nicht viel, die Adresse von http://doc-0o-20.docs.googleusercontent.com ist gleich schon mal verdächtig.
Aber schauen wir mal rein. Im ZIP-Archiv finden wir diverse Dateien, Bilder und eine .exe Datei. Was hier auffällt: die Datei ist nach dem Entpacken 608 MB groß. Nicht schlecht für eine 1,9 MB große ZIP-Datei.
Das ist nicht ohne Grund, Dienste wie VirusTotal haben Obergrenzen an Dateigrößen, was man prüfen kann. Die Grenze lag bisher bei etwas über 500 MB. Bläht man die Datei also auf, dann kann diese nicht mehr geprüft werden.
Inzwischen hat VirusTotal aber aufgerüstet und kann die Datei prüfen. Die Prüfung schlägt auch an. Allerdings auch nur bei 7 von 62 Scannern. Die anderen kennen die Datei also noch nicht.
Wir brechen an der Stelle ab, setzen die VM zurück und löschen die Mail und die Dateien. Also immer vorsichtig sein, besonders bei Angeboten, welche zu gut sind um wahr zu sein.
