DISCLAIMER: ÖFFNE NIEMALS DATEIEN von Dir unbekannten Absendern und KLICKE KEINE LINKS an.
Heute war eine E-Mail vom EU Business Register im Posteingang mit einem angehängten PDF File. Die E-Mail machte von außen einen halbamtlichen Eindruck, also mal schauen worum es geht bevor wir den Löschbutton drücken.
Der englischsprachige Text fordert einen auf, die Firmendaten im PDF File zu ergänzen und an den Absender zurückzusenden. Die Daten werden dann wohl in einem öffentlich abrufbaren Internetverzeichnis veröffentlicht.
Du wirst sagen, hey das ist ein PDF – was soll schon passieren. Aber auch ein harmlos aussehendes PDF File kann z.B. JavaScript Code enthalten, der dann wiederum Malware nachladen und auf Deinem Rechner und im schlimmsten Fall im ganzen (Firmen) Netzwerk installieren kann.
Aber zum Glück ist der Werkzeugkasten der Malware Analysten gut bestückt und das PDF kann auf Bit und Byte untersucht werden.
Wenn Du das Folgende nachmachen willst, nutze unbedingt eine virtuelle Umgebung (VirtualBox, VMWare, Hyper-V….)
1. File Befehl
Zuerst schauen wir uns an, ob die Datei wirklich ein PDF File ist. Das geht mit dem file Befehl:
Die Ausgabe bestätigt, dass die Datei auch tatsächlich eine PDF-Datei ist
2. Virustotal.com
Eine gute Anlaufstelle im Internet für einen Malware-Check ist die Seite virustotal.com. Dort kann entweder die Datei selbst hochgeladen werden oder ein Hash der Datei. Die Eingabe wird dann mit bereits bekannten Malware-Signaturen verglichen und Du bekommst einen Hinweis, ob und um welche Malware es sich handelt.
Virustotal kann verschieden Hashes verarbeiten, unter anderem SHA256, SHA1, MD5. Für unser PDF generieren wir den Hash mit der sha256sum Funktion:
Und geben diesen dann in die Suchleiste auf virustotal ein:
Und schon gehen die roten Alarmglocken an. Ein Dienst klassifiziert die Datei als Fraud – also als Betrug. Warum genau erfährst Du weiter unten.
Hier könnten wir jetzt auch schon mit der Untersuchung aufhören, aber es fängt ja gerade an Spaß zu machen, oder?
Auch wenn virustotal keinen Eintrag anzeigt oder alles grün ist, heißt das nicht unbedingt, dass es sich bei der Datei nicht um Malware handelt. Es kann durchaus vorkommen, dass die Datei bisher entweder nicht untersucht oder der Schadcode nicht identifiziert worden ist.
Ich zeige Dir noch 2 weitere Tools, mit denen wir die PDF-Datei weiter untersuchen können und evtl. vorhandenen Schadcode oder Hinweise darauf zu finden.
3. pdfid.py
Das Python-Tool pdfid.py analysiert das PDF File auf eingebetteten JS Code und eingebundene Dateien, die dann beim Öffnen des PDFs geladen werden:
Aber unser PDF File ist in dieser Hinsicht “sauber” und hat weder JavaScript Code noch andere Dateien versteckt.
Für den Fall, dass weitere Objekte im PDF eingebunden sind, können diese mit den folgenden Tools “sichtbar” gemacht werden:
pdf-parser.py
pdfdetach
4. strings
Ein einfaches aber wirkungsvolles Tool um Zeichen im PlainText aus Files auszulesen ist der string Befehl. Damit lassen sich schnell eingebettete URLs, IPs oder auch Codefragmente anzeigen.
Eine lange Liste, die sich aber sehr gut weiter z. B. mit dem grep Befehl durchsuchen lässt.
Also, was steht jetzt in dem PDF?
Nachdem wir jetzt mit den oben genannten Tools böse Überraschungen ausschließen können, ist es an der Zeit das PDF zu öffnen. Denn schließlich hat der oder die Autorin vermutlich sehr viel Zeit und Energie in die Erstellung des PDF Files gesteckt und es wäre doch schade, wenn wir uns evtl. ein Top-Angebot entgehen lassen, nur weil wir die Email ungelesen löschen 😉
Das Formular ist ein klassisches Formular mit den üblichen Angaben zu einem Unternehmen, was durch seine Formulierungen und Logos durchaus einen seriösen Anschein erwecken kann.
Wie so oft steckt der Teufel im Detail. Bei unseren File im sehr, sehr klein gedruckten:
Es ist wirklich schwer zu lesen, alles ist in Großbuchstaben, enge Schrift und kleiner Schriftart geschrieben.
Wer sich jetzt die Mühe macht und das Formular unterschreibt, schließt einen Vertrag mit einer Laufzeit von DREI Jahren ab, der sich jeweils um ein weiteres Jahr verlängert, wenn nicht 2 Monate vor Ablauf des jeweiligen Abrechnungszeitraums gekündigt wird.
Die Kosten betragen 995 EUR pro Jahr und damit 2.985,- EUR für 3 Jahre, die Du garantiert bezahlen musst.
Ein völlig überteuerter Preis für einen Eintrag in einem Webverzeichnis, ohne weiteren Service seitens des Seitenbetreibers.
Schaut mal auf der Seite des Absenders nach, wie viele Unternehmen in dem Portal gelistet sind: Erschreckend viele 🙁
Fazit: Keine Malware, aber dafür ein Scam mit einer sehr teuren Abofalle: Das kann definitiv weg.
Der Artikel wurde zuerst auf LinkedIn veröffentlicht.
