Hadmut Danisch

Ansichten eines Informatikers

Warnung vor anwaltlichem Abmahnschreiben

Hadmut
13.5.2021 12:00

Warnhinweis an mainstream-kritische Blogger und Journalisten.

Ich habe gerade eine anwaltstypische Mail bekommen, die in der Anlage Abmahnung und Unterlassungsschreiben „zustellt“, auf den ersten Blick sehr „naturgetreu“, einer angeblichen Berliner Anwaltskanzlei (existiert nach erstem Prüfen nicht).

Man denkt natürlich erst mal wieder, was ist jetzt wieder los (Abmahnschreiben bekomme ich öfters, aber meistens höre ich nie wieder was von denen, wenn ich mal geantwortet habe), vor allem, wenn man wie ich gerade mal wieder Granaten abfeuert oder den Grünen ihre Kanzlerkandidatin sturmreif schießt.

Nur: War keine Abmahnung, sah nur so aus.

zip als Abmahnschreiben, darin ein scheinbares „signiertes PDF“, was aber nur javascript-Code enthält, und er obfuscated (programmtechnisch so verwirrend und unlesbar gemacht, dass man das direkt erst mal nicht lesen kann, sondern erst einige Textverarbeitung betreiben muss, bis man den eigentlichen Programmcode sieht). Habe jetzt gerade nicht die Zeit, den zu deobfuscaten, weil mit anderem beschäftigt, u.a. Recherchen. Sieht nach grobem Überfliegen so aus, als baut sich das Ding aus Textfunktionen und bewusst verwirrend gebauten Strings (a-z, aus denen dann indiziert Textstücke selektiert werden, was man aber nicht unmittelbar lesen kann und die Virenerkennung erschwert) per Textverarbeitung einen URL zusammen, von dem es dann irgendeine Datei runterlädt und per Active X und den Windows-cmd-Interpreter ausführt.

Das ganze unter dem Vorwand einer Signatur als Datei mit Endung .pdf.js, die typische Masche für Windows, sieht dann wie pdf aus, man klickt drauf, und JavaScript wird ausgeführt.

Allerdings kein an mich spezifisch adressierter Text, nur „Sehr geehrte Damen und Herren“.

Auffällig aber, dass der Absender eine Berliner Kanzlei sein soll.

Das kann jetzt natürlich eine relativ gut gemachte und gar nicht so leicht zu erkennende gewöhnliche Massen-Malware-Spam sein. Ich finde die Art und den Zeitpunkt, vor allem die Angabe einer Berliner Kanzlei, etwas merkwürdig für einen Zufall und Massen-Malware-Spam.

Man sollte mal mit etwas Augenmerk darauf achten, ob hier gerade gezielt Angriffe gegen Dissidenten stattfinden.

Augen offenhalten.

Sicherheitsmaßnahmen verstärken.