./BLOG

Foto bij het blog

De Belastingdienst, leuker kunnen we het niet maken, 'phishier' wel!

23:49 uur @ 02-12-2019 - directe link - Tags: belastingdienst, jse, Malware, Phishing, zip

Sinds een paar dagen worden mailboxen overspoeld met mails namens de Belastingdienst. In deze mail wordt aangegeven dat de Belastingdienst een genoemd bedrag binnen 24 uur van de bankrekening gaat afschrijven. Er wordt gerefereerd aan de factuur die ik de bijlage is meegeleverd.

Dit soort 'dreigmails' worden vaak gebruikt om de ontvanger over te zetten tot actie. In dit geval is de actie in kwestie het openen van een bijlage.

De phishingmail namens de Belastingdienst.

(de phishingmail namens de Belastingdienst)

Stap 1 - Headers van de e-mail controleren

Elke e-mail heeft zogenoemde headers. Dit is informatie dat aan een mail vastzit waarin aangegeven is wie de afzender is, voor wie het bericht bedoeld is, wanneer de mail verstuurd is, via welke e-mailserver de mail verstuurd is en nog veel meer informatie.

Als we kijken naar de headers van diverse ontvangen mails, dan kan ik concluderen dat de verzenders niet specifiek gebruik hebben gemaakt van één mailserver om de mails mee te versturen. De opgegeven afzenders bestaan tevens niet.

Stap 2 - Bijlage onderzoeken

De bijlage is in dit geval een HTML-bestand. HTML-bestanden zijn bestanden die door de internetbrowser (bijv. Internet Explorer, Edge, Firefox, Chrome) kunnen worden geopend en worden weergegeven. Dit soort bestanden bevatten webpagina's. In dit specifieke geval bevatten de tot nu door Qualitysign onderzochte bijlagen een verwijzing naar een zip-bestand: http://*RANDOM*.download.thesongwritercollection.com/factuur_12_02_2019_*RANDOM*.zip


De downloadlink in het HTML-bestand.

(de downloadlink in het HTML-bestand)

Stap 3 - Download onderzoeken

Een zip-bestand is een bestand van één of meer bestanden kan bevatten. Dit soort bestanden worden vaak gebruikt om bestanden bij elkaar te houden en te comprimeren (kleiner maken) zodat deze makkelijker verplaatst kunnen worden. Malware-schrijvers en ander soorten criminelen maken gebruik van zip-bestanden om ontvangers te misleiden.

In dit geval bevat het gedownloade bestand een jse-bestand. Dat is een met JScript gecodeerd bestand. Dit soort bestanden bevatten een script-taal dat door Microsoft is bedacht en kan uitgevoerd worden door er op te klikken.

In dit geval zou een gemiddelde ontvanger het bestand vanuit het zip-bestand openen en dat bestand zou dan worden uitgevoerd.

Het jse-bestand in het gedownloade zip-bestand.

(Het jse-bestand in het gedownloade zip-bestand)

Stap 4 - jse-bestand onderzoeken

Als we het bestand bekijken dan valt al snel op dat er een Nederlandse tekst in staat. Dit is een tekst die wordt weergegeven als het bestand wordt geopend en doet suggereren dat er iets mis is gegaan: "Fout bij het laden van het document!". Het tegendeel is echter waar. De malware is op de achtergrond al aan de slag gegaan.

Het jse-bestand zorgt ervoor dat er een exe-bestand wordt gedownload van  wovzxjr8ju6ajn1aji75tqzn.file.truckbennels.com om vervolgens te worden uitgevoerd. Dit exe-bestand achterhaalt via checkip.amazonaws.com welk IP-adres de internetverbinding van de mailontvanger heeft en download vervolgens meer kwaadaardige software.

Er wordt daarna onder andere een TOR-verbinding opgezet. Wat er vervolgens gebeurt, hebben we verder niet onderzocht. Maar ga er gerust van uit dat dat geen zuivere koffie zal zijn ;)

De inhoude van het jse-bestand.

(de inhoud van het jse-bestand, let op, het is één heel lange regel)

Eenvoudig doch doeltreffend

Het is een relatief eenvoudige aanval. De aanvaller stuurt een mail, benadrukt urgentie, verleid de ontvanger daardoor een bijlage te openen, deze opent vervolgens nog een keer een bestand en voila, de aanvaller is succesvol.

Ondanks dat de mail wat taalfouten bevat en niet voorzien is van een gepersonaliseerde aanhef, zal dat vast niet iedereen opvallen. Het dringende karakter zorgt er in onze hersenen voor dat we een aantal alarmbellen uitschakelen. Dit komt door het "Fight, Flight, Fright"-principe. Het lichaam maakt ook in dit soort gevallen meer adrenaline aan zodat het lichaam alerter kan reageren in noodsituaties. Het nadeel hiervan is dat er minder zuurstof naar de hersenen gaat, waardoor er niet meer even helder kan worden nagedacht.

In een goed awarenessprogramma moet er aandacht zijn voor onder andere dit soort menselijke reacties.

Tips

De Belastingdienst zal nooit een mail sturen waarin gevraagd wordt om iets te betalen. Daar gebruikt men doorgaans mooie blauwe enveloppen voor of je ontvangt een bericht dat er post is in de Berichtenbox van Mijn Overheid.

Zorg ervoor dat je virusscanner altijd up-to-date is om nevenschade zoveel mogelijk te voorkomen.

jse-, vba-, vbe-, vbs-, wsf-, wsh- en js-bestanden zouden op het gemiddelde computersysteem niet zomaar uitgevoerd moeten kunnen worden. Zorg ervoor dat je deze allemaal doorverwijs naar Kladblok. Dat zorgt ervoor dat je daar geen schade meer van kan ondervinden op de manier die doorgaans gebruikt wordt.


Ga in Windows 10 naar het Startmenu en typ: Instellingen. Ga vervolgens naar Apps > Standaard-apps. Kies onder in het scherm 'Standaard-apps per bestandstype kiezen' en pas de bovengenoemde bestandsextensies aan naar Kladblok.


Blijf alert, denk na en wees veilig. ./Barry