Vreemde e-mail spam

Tomby · 12 okt 2021, 10:32

Ik begin hier regelmatig vreemde spam mails te krijgen. Ze zijn gericht aan een random lijst van addressees. De content toont gewoon een reeks schijnbare codes in hoofdletters. Maar er zit ook een htm-attachment in met een filename die refereert naar Elon Musk. De HTML file bevat enkel dit :

Code: Selecteer alles

<body onload="document.location.replace(window.atob('aHR0c...YkM/NTc3...0MiA='));" />

Geen idee wat dat juist doet, maar vermoed dat het ergens een obfuscatie is van iets kwaadaardig (ik vermoed phishing ?).
Al eens gegoogled maar nog geen meldingen daarvan gezien.

Sinna · 12 okt 2021, 10:36

Heb ik gisterenavond ook binnengehad en meteen gewist.

boran_blok · 12 okt 2021, 11:43

Hier ook, direct gerapporteerd als spam, zonder te openen in gmail oid, je weet maar nooit dat het een of andere 0day is die de webreader exploit of zo.

DarkV · 12 okt 2021, 14:36

Tomby schreef:Geen idee wat dat juist doet

De functie atob() doet een ASCII to Binary conversie van de tekst (Base64)... aangezien men hiermee de locatie van je browser vervangt zal dit wel een URL zijn (die op die manier dus geobfusceerd is).

Je kan altijd eens kijken wat erin zat... https://www.base64decode.org/

Tomby · 12 okt 2021, 14:42

DarkV schreef:Je kan altijd eens kijken wat erin zat...

Het is inderdaad een URL die erin gecodeerd zat naar een of andere obscure .info website. Gegarandeerd daar dan de malware of een phishing attempt.
Wellicht dan een aanval op specifieke mail readers die automatisch die attachment openen en dus een browser window openen op die URL. Zowel in IOS Gmail als in de Gmail web client zie ik die mails dus gewoon als wat random karakters met een attachment die je zelf moet openen/downloaden.