Hallo,
in den letzten Wochen wird wiederholt gemeldet, daß "SPAM" Emails mit Bezug auf bereits versendete E-Mails eintreffen, die einen Link zu Schadsoftware enthalten.
Einen Vorgänger dieser Welle gab es bereits im März (s. Störungsmeldung Security vom 1.4.2021)
Es scheint so zu sein, dass ein Empfänger der ursprünglichen E-Mail einen kompromittierten Rechner und vermutlich dann auch einen kompromittierten E-Mail Account hat.
Leider haben wir solche kompromittierten Systeme/Accounts nicht nur bei externen Usern, sondern leider auch bei ein paar RWTH Usern.
Die Links zu der Schadsoftware sind im Moment immer ähnlich strukturiert:
irgend.eine.domain/titel--vorname--nachname/dateiname-mit-bezug-zur-ausgangs-email.zip
Also ein kompromittierter Server irgendwo, dann ein Pfad, der den Namen einer Person darzustellen scheint, sowie ein ZIP File, dessen Name Bezug zur E-Mail hat.
Dabei ist die Namenskomponente des ZIP-Files beim Abrufen der Schadsoftwarelinks egal, man kriegt immer ein ZIP.
Dieses enthält ein Execlsheet mit Makros, Bewertung eines Samples auf Virustotal hier:
https://www.virustotal.com/gui/file/e411f55caef690ea3354eb9349c166ac0eea44a2...
Wenn es sich um einen kompromittierten Account der RWTH handelt, wird gerne als Absender
"tim-kennung-des-komprtomittierten-accounts@domain.rwth-aachen.de"
vorgegaukelt, tatsächlich ist das aber nur der Klartextteil des "From".
Macht es uns aber leichter, den kompromittierten Account zu finden.
Sollte bei Euch so etwas auflaufen, dem bitte nachgehen und prüfen, welcher der Teilnehmer an der zitierten Konversation betroffen ist.
Bitte auch an
csi@rwth-aachen.de
melden.
Gruß, Jens Hektor
rwth-security@lists.rwth-aachen.de