• Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • RESSOURCEN
    • Dokumentation
    • Forum
    • Webcasts
    • Schulungen
    • Support
    • Software-Download
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
  • UNTERNEHMEN
    • Kontakt
    • Team
    • Referenzen
    • Karriere
    • Events
  • PREISANFRAGE
  • BLOG
    • Blog
    • Newsletter-Abo
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
DHL Spam Mail - Mit NoSpamProxy blocken, Anti Spam, Anti Malware

Analyse der DHL Phishing Attacke

News, NoSpamProxy Protection, Produkt, Technik & Support

Um die nicht nur lästigen, sondern auch gefährlichen E-Mails im Rahmen der sogenannten DHL Attacke abzuwehren, passte Cyren bislang immer wieder die bestehenden Suchalgorithmen an. Nachdem aber immer neue, nicht entdeckte Beispiele an Cyren gemeldet wurden, entschied man sich zu einer eingängigeren Untersuchung der E-Mails. Dabei fand man folgendes heraus:

Für die Attacke mit den gefälschten DHL Emails wurden original DHL Emails als Vorlagen genutzt. Es werden durchweg legitime gehackte, und nicht extra dafür angelegte, Webseiten genutzt welche erst nach drei Weiterleitungen auf den Schadcode zum Download verweisen und die Analyse erheblich erschweren.
Es wurden zwei Typen von CYREN identifiziert:
1. Die erste Art nutzte als Angriffsvektor den oben beschriebenen Weg. Aktuelle, weiterhin laufende Attacken, kommen in dieser Form.
2. Die andere nutzte eine gleich strukturierte Email, angehängt war jedoch ein infiziertes PDF Attachement.

Nachfolgend ist das Verhalten beschrieben wie es von CYREN analysiert wurde:

  • Ein Registryschlüssel wird erzeugt.
  • Es wird ein Prozess an ungewöhnlicher Stelle gestartet.

Um nicht verdächtig zu erscheinen werden zuerst die Google DNS Server ein paarmal angefragt. Anschließend wird aber 91.121.25.23 via Port 8080 kontaktiert. Diese IP ist bereits in einigen Blacklists aufgeführt. CYREN empfiehlt Anfragen zu dieser IP zu blocken um Kontakte zu dem „Command and Control“ Server zu unterbinden.

Die aus der Analyse resultierenden Ergebnisse führten nun zu einer Modifizierung der ScanEngine, welche nach und nach in den Livebetrieb überführt wird. Sie als NoSpamProxy Kunden müssen dafür keine Änderungen vornehmen.

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 
23.06.2015/by Stefan Cink

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Sie benötigen Unterstützung?

Weitere Informationen rund um NoSpamProxy finden Sie in unserer Dokumentation und im Forum.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Info Icon
    Neue SwissSign-MPKI: Was Sie jetzt tun müssen28.09.2023 - 14:53
  • MalDoc in PDF Gefahr durch in PDFs versteckte Word-Dateien Preview
    MalDoc in PDF: Gefahr durch in PDFs versteckte Word-Dateien08.09.2023 - 16:57
  • NIS2 Network and Information Systems Directive Preview
    NIS2 – Was die Richtlinie für Sie bedeutet08.09.2023 - 09:00
IMPRESSUM • EULA • Datenschutzerklärung • Cookie Einstellungen ändern • © 2023 Net at Work GmbH
  • Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
Migrationstool für Signtrust-Kunden verfügbarInfo IconSTARTTLS ist nicht genug!
Scroll to top