Hallo,
in den letzten Wochen wird wiederholt gemeldet, daß "SPAM" Emails
mit Bezug auf bereits versendete E-Mails eintreffen, die einen
Link zu Schadsoftware enthalten.
Einen Vorgänger dieser Welle gab es bereits im März
(s. Störungsmeldung Security vom 1.4.2021)
Es scheint so zu sein, dass ein Empfänger der ursprünglichen
E-Mail einen kompromittierten Rechner und vermutlich dann
auch einen kompromittierten E-Mail Account hat.
Leider haben wir solche kompromittierten Systeme/Accounts
nicht nur bei externen Usern, sondern leider auch bei ein paar
RWTH Usern.
Die Links zu der Schadsoftware sind im Moment
immer ähnlich strukturiert:
irgend.eine.domain/titel--vorname--nachname/dateiname-mit-bezug-zur-ausgangs-email.zip
Also ein kompromittierter Server irgendwo,
dann ein Pfad, der den Namen einer Person darzustellen scheint,
sowie ein ZIP File, dessen Name Bezug zur E-Mail hat.
Dabei ist die Namenskomponente des ZIP-Files beim Abrufen der
Schadsoftwarelinks egal, man kriegt immer ein ZIP.
Dieses enthält ein Execlsheet mit Makros, Bewertung
eines Samples auf Virustotal hier:
https://www.virustotal.com/gui/file/e411f55caef690ea3354eb9349c166ac0eea44a…
Wenn es sich um einen kompromittierten Account der
RWTH handelt, wird gerne als Absender
"tim-kennung-des-komprtomittierten-accounts(a)domain.rwth-aachen.de"
vorgegaukelt, tatsächlich ist das aber nur der
Klartextteil des "From".
Macht es uns aber leichter, den kompromittierten Account zu finden.
Sollte bei Euch so etwas auflaufen, dem bitte nachgehen
und prüfen, welcher der Teilnehmer an der zitierten
Konversation betroffen ist.
Bitte auch an
csi(a)rwth-aachen.de
melden.
Gruß, Jens Hektor
--
Dipl.-Phys. Jens Hektor, Computer Security Incidents Response Team
RWTH Aachen University, Center for Computing and Communication
Room 2.04, Wendlingweg 10, 52074 Aachen (Germany)
Phone: +49 241 80 29206 - Fax: +49 241 80 22100
https://www.rz.rwth-aachen.de - csi(a)rwth-aachen.de