diff --git a/content/spam/2025-01-16-oh-wow-thats-new/index.md b/content/spam/2025-01-16-oh-wow-thats-new/index.md index 779c968..d742177 100644 --- a/content/spam/2025-01-16-oh-wow-thats-new/index.md +++ b/content/spam/2025-01-16-oh-wow-thats-new/index.md @@ -1,15 +1,13 @@ --- title: "Oh WOW! That's new!" -date: 2025-01-16T10:01:58+0100 +date: 2025-01-19T21:07:05+0100 +#lastmod: summary: > This is the first time that I got a PDF file attached in a spam mail. Really, I had to look twice! tags: - - draft_post showBreadcrumbs: true showRelated: false - -draft: true --- Really, I had to look twice! @@ -17,3 +15,289 @@ Really, I had to look twice! And I also looked twice into that PDF file (not analytically, but just to get an idea of what is inside). + +But first things first! + +## The mail body + +```text +This message was created automatically by mail delivery software. + +A message that you sent could not be delivered to one or more of its +recipients. This is a permanent error. The following address(es) failed: + + username@*** + Domain indiana-cccac.org has exceeded the max defers and failures per hour (5/5 (62%)) allowed. Message discarded. +``` + +It is basicly a multipart message with a delivery-status attached. The "original" message is attached and contains the +following body: + +```text +Die Rechnung ist der E-Mail beigefügt. +Fälligkeitsdatum: 2 Tage +``` + +The containing delivery-status report is: + +```text +Reporting-MTA: dns; cp30.machighway.com + +Action: failed +Final-Recipient: rfc822;username@*** +Status: 5.0.0 +``` + +## The mail body source (html) + +```text +--1737016837-eximdsn-251261276 +Content-type: text/plain; charset=us-ascii + +This message was created automatically by mail delivery software. + +A message that you sent could not be delivered to one or more of its +recipients. This is a permanent error. The following address(es) failed: + + username@*** + Domain indiana-cccac.org has exceeded the max defers and failures per hour (5/5 (62%)) allowed. Message discarded. +``` + +```text +------=_NextPart_000_0012_093718ED.5234615C +Content-Type: text/plain; + charset="utf-8" +Content-Transfer-Encoding: quoted-printable + +Die Rechnung ist der E-Mail beigef=C3=BCgt. +F=C3=A4lligkeitsdatum: 2 Tage +``` + +```text +--1737016837-eximdsn-251261276 +Content-type: message/delivery-status + +Reporting-MTA: dns; cp30.machighway.com + +Action: failed +Final-Recipient: rfc822;username@*** +Status: 5.0.0 +``` + +The rest is the original message which I will also include: + +```text +--1737016837-eximdsn-251261276 +Content-type: message/rfc822 + +Return-path: +Received: from [177.200.194.82] (port=60176 helo=ns1.bouton.com.br) + by cp30.machighway.com with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 + (Exim 4.93) + (envelope-from ) + id 1tYLQa-0005M7-Q0 + for username@***; Thu, 16 Jan 2025 03:40:37 -0500 +From: username@*** +To: username@*** +Subject: Unbezahlte Rechnung +Date: 16 Jan 2025 00:38:37 -0800 +Message-ID: <20250116003837.EDA46C14EFF90662@***> +MIME-Version: 1.0 +Content-Type: multipart/mixed; + boundary="----=_NextPart_000_0012_093718ED.5234615C" + +This is a multi-part message in MIME format. + +------=_NextPart_000_0012_093718ED.5234615C +Content-Type: text/plain; + charset="utf-8" +Content-Transfer-Encoding: quoted-printable + +Die Rechnung ist der E-Mail beigef=C3=BCgt. +F=C3=A4lligkeitsdatum: 2 Tage +------=_NextPart_000_0012_093718ED.5234615C +Content-Type: application/pdf; name="Rechnung 0991829-2025.pdf" +Content-Transfer-Encoding: base64 +Content-Disposition: attachment; filename="Rechnung 0991829-2025.pdf" + +JVBERi0xLjQKJfbk/N8KMSAwIG9iago8PAovVHlwZSAvQ2F0YWxvZwovVmVyc2lvbiAvMS40 +Ci9QYWdlcyAyIDAgUgovU3RydWN0VHJlZVJvb3QgMyAwIFIKL01hcmtJbmZvIDQgMCBSCi9M +... +``` + +The base64 encoded pdf file follows. + +## Some mail headers + +```text +X-Spam-score: 10.0 +X-Spam-hits: BAYES_20 -0.001, ME_NOAUTH 0.01, ME_SENDERREP_NEUTRAL 0.001, + SH_HBL_FILE_SUSPICIOUS 10, SPF_HELO_NONE 0.001, SPF_NONE 0.001, + LANGUAGES en, BAYES_USED user, SA_VERSION 4.0.0 +X-Backscatter: Yes +X-Backscatter-Hosts: 177.200.194.82, cp30.machighway.com +X-Spam-source: IP='64.6.254.94', Host='cp30.machighway.com', Country='US', + FromHeader='com', MailFrom='unk' +X-Spam-charsets: plain='us-ascii' +X-Attached: Rechnung 0991829-2025.pdf +ARC-Authentication-Results: i=1; phl-mx-07.messagingengine.com; + x-csa=none; + x-me-sender=none; + x-ptr=pass smtp.helo=cp30.machighway.com policy.ptr=cp30.machighway.com; + bimi=skipped (DMARC did not pass); + arc=none (no signatures found); + dkim=none (no signatures found); + dmarc=fail policy.published-domain-policy=none + policy.applied-disposition=none policy.evaluated-disposition=none + policy.arc-aware-result=fail + (p=none,d=none,d.eval=none,arc_aware_result=fail) policy.policy-from=p + header.from=cp30.machighway.com; + iprev=pass smtp.remote-ip=64.6.254.94 (cp30.machighway.com); + spf=none smtp.mailfrom="" smtp.helo=cp30.machighway.com +``` + +## Attachments (PDF) + +I had a look into the PDF file with a text editor and I extracted the +text of the image (**!**) as well. + +```console +$ ps2ascii Rechnung\ 0991829-2025.pdf + Grüße Sie! + Ich bin ein professioneller Hacker und habe erfolgreich Ihr Betriebssystem gehackt. + Derzeit habe ich vollen Zugriff auf Ihr Konto. + Darüber hinaus habe ich alle Ihre Aktivitäten heimlich überwacht und Sie mehrere Monate lang beobachtet. + Die Sache ist die, dass Ihr Computer mit schädlicher Spyyware infiziert war, weil Sie zuvor eine Webseite mit pornnografischen Inhalten besucht + hatten. + Lassen Sie mich Ihnen erklären, was das bedeutet. + Dank Trojaner-Viren kann ich mir vollständigen Zugriff auf Ihren Computer oder jedes andere Gerät, das Sie besitzen, verschaffen. + Das bedeutet, dass ich absolut alles auf Ihrem Bildschirm sehen und die Kamera sowie das Mikrofon jederzeit ohne Ihre Erlaubnis einschalten kann. + Darüber hinaus kann ich auch auf Ihre vertraulichen Informationen sowie auf Ihre E-Mails und Chat-Nachrichten zugreifen und diese einsehen. + Vielleicht fragen Sie sich, warum Ihr Antivirusprogram meine Schadsoftware nicht erkennen kann. + Ich erkläre es Ihnen kurz: + Ich verwende eine treiberbasierte Schadsoftware, die ihre Signaturen alle 4 Stunden erneuert, so dass Ihr Antivirusprogramm sie nicht erkennen kann + Ich habe eine Videozusammenstellung erstellt, die auf der linken Seite die Szenen zeigt, in denen Sie fröhlich masturbieren, während auf der + rechten Seite das Video gezeigt wird, das Sie sich in diesem Moment angesehen haben.... + Alles, was ich tun muss, ist, dieses Video an alle E-Mail Adressen und Messenger-Kontakte von Personen weiterzugeben, mit denen Sie auf + Ihrem Gerät oder PC in Kontakt stehen. + Darüber hinaus kann ich auch alle Ihre E-Mails und Chatverläufe veröffentlichen. + Ich denke, dass Sie dies auf jeden Fall vermeiden möchten. + Sie müssen daher Folgendes tun: Überweisen Sie Bitcoin im Gegenwert von 1800€ auf mein Bitcoin Konto + (das ist ein ziemlich einfacher Vorgang, den Sie online nachlesen können, falls Sie nicht wissen, wie das geht). + Sie können auch BITCOIN-Geldautomaten in Ihrer Nähe nutzen. + Im Folgenden finden Sie die Informationenzu meinem Bitcoin Konto (Bitcoin Wallet): 1XXXdbF7hHhxFR1ZeoxvYRqv8D15dMEcX + Sobald der erforderliche Betrag auf meinem Konto eingegangen ist, werde ich all diese Videos löschen und ein für alle Mal aus Ihrem + Lebenverschwinden. + Bitte stellen Sie sicher, dass Sie die oben genannte Überweisung innerhalb von 50 Stunden (2Tage +) durchführen. + Ich werde eine Benachrichtigung erhalten, sobald Sie diese E-Mail öffnen, und der Countdown beginnt. + Glauben Sie mir, ich bin sehr vorsichtig, berechnend und mache nie Fehler. + Sollte ich feststellen, dass Sie diese Nachricht an andere weitergegeben haben, werde ich sofort damit beginnen, Ihre privaten Videos öffentlich + öffentlich zu machen. + . + Viel Glück! +``` + +The file itself has this content (snipped): + +```pdf +%PDF-1.4 + +6 0 obj +<< +/Title (Rechnung 0891829-2025 \(2\)-1.pdf) +/Creator (Canva) +/Producer (Canva) +/CreationDate (D:20250115142947+00'00') +/ModDate (D:20250115142947+00'00') +/Keywords (DAGcRjXLRfg,BAGbiUJjRR8) +/Author (Babes Savan) +>> +endobj + +7 0 obj +<< +/Type /Page +/Resources << +/ProcSet [/PDF /Text /ImageB /ImageC /ImageI] +/ExtGState 10 0 R +/Font 11 0 R +>> +/MediaBox [0.0 7.6200128 841.92 603.12] +/Contents 12 0 R +/StructParents 0 +/Parent 2 0 R +/Tabs /S +/BleedBox [0.0 7.6200128 841.92 603.12] +/TrimBox [0.0 7.6200128 841.92 603.12] +/CropBox [0.0 7.6200128 841.92 603.12] +/Rotate 0 +/Annots [] +>> +endobj +8 0 obj +<< +/Type /StructElem +/S /Document +/P 3 0 R +/K [13 0 R] +>> +endobj + +12 0 obj +<< +/Length 4787 +/Filter /FlateDecode +>> +stream +xœí]M$Gå8¸`‚ÃHpØA¸·²2³*KYš¯µ}°„aòÅlɒ‘¼àâÿNötUwÖP¯*^ed÷Ìz½ïvÏÔG~D¾ñ"âûóMm»‡ÿ.ªøçÃôŸMe7¦¾øûwçߟo¿´¾ +ëºæ¢vÁljñöŸçýýù¿â÷۟ô—8ü-þ¢¹ØþùÓ'ý_Þ~sþê{ñÍ¿®gLm/ÚÎm/óõùñÏSºOe›¦òM¯á_ÖoZ㛺¹øÐø3¡kŒß>Aõðƒñ v9<Á«OÍÅÕÕ«Ïo?»‹ŸüñÅÍÝíù͛óWŒ÷ÿ|õÚ]l/×Vñ?{ñæëøÓ±ý_|®7ߝ¿<ûÝåśoύٸPµ¦ÞÎЛœ_UÕ]÷ñö›f㬯i÷_Üß=|Ñm\ã*ëŸÛásº:„ýÝîJaBí\cw_¼<{ñpk»i;ÓøÆÿíròò×·WqcwÍÂÕ¯*s¾¸ÿüöüþ +56ñ"có‡ËÝçãì†&¼îoéCZïÏØõCà»ÚÙ¶}Óí…îûŸïlBå_öÖs7@ƒ£vƒ»¼\>·7Úº®}òH»õã㥚ֶfù%îv+±Ý´•3Ûݳø|môPÓã1÷P7÷ý-¼5¡IF~ßor áÆùòrØËMÛV]²wBÝß¡1¡Škvy%ßÜ #èºhÆjå‡Ýš‹a¯<Úçxć/:×FY/Ý`z3> +SÞîFʀñc4·öá„«éÚ +SO¢Ê¶Ë7— [eÓU͘ÛظQ—§ŽÜ?ÝmˆjÓÔ­éZ»üÊ÷®¿WÎ ¦ +¼\g¼={}Óߣ +®vU»üðáãÞî~ÃÄ7ìºPwfjÐS›.@ë¦c4ÝU{ø +¸SÑú™-ŸŒzmÓï¼(!ôêƒÁêƍëM,2°Š_œ]î¾öÁ×»AÝÒ$gšÊñÁ¡e+Ñ+¨a¬×ÃrŒK×·’3_ñ§àÔ˳.ûÝÜtÆu‡ÑFg%oëÑpÃhú‹H‹V |æ“k]Ï>Z9\2ðbâÙO˜³ÌÐá°¹ÞY!»éBÕ¶ö`ÿRä`¢šž ƒ"-ÄôtÎmQtãѓ6 @™¦p¢ù}^*o¦ÓÀä„ÕÔK ‘ó±³|Þ Iž2üËe¡z‹"o +'VreÌÍ($E#üà}b­Pè +Þْ‘–PvV‹Ø†Ì˳ÿ +´ÆQtŽ+ǃ!Ӂµ_yô1Ún 6©’áH¬_¼V§@×p;×n¹Ý,‚ƒ¾p4ØZnÄ<ÖÚ´;ÖúÑó®r¶Y~/>œ®ÇS‘°e3õ˜À +ÊÇë§Ô$nÐfC_>vf5h‰Ñ.B¼CHÞ/÷‚ +!t-ì]»sš¼ï㏄iœ> +Ÿ\k·pkM¯o¸§¿êU™MU›åµ…XúèMmn\¸BcêªÙ˾ßGôLQݲÄVkKãUí?NtØ®t̘?šX·ÙˆSún)êyxõt‘q³9†Õ>%äG6ŁȄfêRWTR:ø-Ö+2D«ŠóVÊQޙJàä)ã)O½ˆ®C׳֝GšÈ{¹â‘˜)Lƒ;Q\Uk„<åð0³ˆ¿1«sa=¶pŒr€îñD+4)¢ú„IGÍ +/;ò-óËKÑõ&òV)"CŽB҉—ÅBêj5 92åKÜ2ʗӕ˜'¥?æ祮ðÝx ÏÍõñŮ֬ž¸wÉJ’‡$[d„tîPÏ4÷PžÒì<¡dîie‚Æ">×2*Q‘ë1 3 Y’æ¯2}΍à5¯+åb†8R*±•£H)ö « ^y¼ õ¯Ø$.5oŒÀbÁу€ ÒP&ªz,R9Ísy´žï—pxˆ¤a”™c¡¢3.CõÖð¯zcëP5‚²´Ú`ˆº°ôšÓ$`­§ÆÉ<£@]hñwÂÁZd­FˆÏ öB .XwïS )ù` ,Ü—ÃBôàîΧÉGž/¢@˜–´–Æ°s§ÒIÕàd<%Ó6‰ˆórièÏ`ùáã•Ì¿Â>Ôm3›€§ŒOŒŸi59м%‹Ú̽¶žõf:HzZ:™Gˆ}ÕÃ|(X5r:¥ÝàB=Fiâ'ãtû-Ôêø`ÛƒO¹zïy ŒŒoƒ´Æ‰Až°Òý‰ÈݚH«6Mp/Nm87=´io×kD$š­gé#%×$‚×ôþ}@$uÕÆXͅnñ½‹Ó¾ÂÙo«€<«>–‰Eq&¾!_FèZDÊT¡, R¡¸¢bF{iÔ +åRGiq8R¬Ãs¸SMBñ0ԊÙÏkÄ~á,¥Á^žO™ªYDÊ=c²ö»yU«Ë×ÁÀNaP5²;½—`‰EØR{éæÿÅJfM_Š•O-5]!\ !4\OÊ5lP©”Æd}˜|sÂEÅV¢ð܌S˜Æ!ªÄv³^ðJ¥À)Hª‘$™S1%jÒdPO" 9™8£i’LD Óu녥öxgJVQX•r¹ —î˜k©í1–FX©ó;|¢ƒdÍmªÖ˜ÃöZûùüáëK7³ÔK @³ÿËYÏr–Q ¶aVu]Ú-¬6qJ­Õ4kªñÊ$چå@Ê4¬…Ï8ÞBbJ‘L—Ì°/¯ I5Íoí9—¥\ù|¬&£™ã©š]̑tj`3 ëè£1 +«óP Ì*\±i3ú¦40âµ p÷¢@¼V)Qo°Õu¶^žýyØtUï A™|ȎïÇ«q5{Ì©ðVL×Ʋ<¨žáh-ßíÇõXë÷]C‹Úz^)sª§…J¥ º|Íp +äÐཝdzíÈr»¼é6<3!àé!Ü¡sJTDGt‹ÃÜ%­NÀ¼ñ×*¿”çäèìû*uŒï}•ºgY¥®8‰.]\ÄޟOu*È{ÓðŽï…}}ø¼5œS¦×FC”¾ÌG÷ÓÔ¸¬‰yo‡å6°Õ¯Zk<}Å%=k7ã\wÆ+oŸÚ«i3ŸMûâJûðOUö +wÄo µ"á\þörw™må:§B6åÿ~l†óJÕæõɌ±¨ìÒãdÄG®©/Si Xžá¶ng¸OÖûÑ·FFx³Í“kÒ¹’Ú€´‹:ßyI«˜Þ*ËGcuÐü¡ÚËN°Q/vWþvðOØPû:¯i²‰šÁ€Â›¢KtªëV ºÃn9•qM.¯gº®¸kYq_ ¦ñïKY^DgŸGgŸ÷aSoógàðLMdn/NñAo{ëڈƒ†3ìˆ6D&ôÅχ…Üvֆ!‹>–é~eqWGˆó6ñG͹ðn½›d7L½Œ\df#¥¨2³ñ¤#ý¥ÖDïviæ¦ë×De+{r2 +^3ÃâyÀÉUÆS1ë›~XQ\0 + ðµñôDâG¨ñ Ý,²¨d†tkEò4Šè)l¹ŠV¥Õ?O°bъfC¥üKEr‚ŸEØǐH\K÷¨17×­ëPPBŽ4’¨cxAKÙ»"˜O$«@”Ä_ž}ÕÏY„N®ªegŸ^{ÌxÓZ»põQǧ`ÃaÅ﹑µB1+45KĐÉäÅ +jKR'yµ¼z†§¸±˜¤Dì u2àlάÀ£ÏòK…õXGì;x¡w¢â|í¾Òáñç!uÙ¢ÑB¥½$¥º–Š +\Ÿ°iéÈð˜$ÏlZ¨V΋áXa™R˜dº<ӓŽ˜Ó÷-M°ösŸ`¸Ó —J¶—go/ûæLÁ©K‰æ–÷ +>·2²×Ôñãۅ "{gÿÙg²Ôu׸•ŸÎŽh˜ºÄ±»´müù=ÙÀFWo?>~ñëÞ¾[Dž:[ç`?Ë_^î)Nä>ÞLÓ_Ø:®ûI«Œ +¶kçŸçì/{ßwí«üÂpþ0EÐK%~-Hê8Ûoƒ¸ «Ö/<æU5î|‡t¿ þÛß¹3m]3ÿüۃ2Lϸ>’[Bå]·§žéøÄ]6ı—ÔǟNï:¹zö’z»¸[Äs¸Œë\mԂµVíŒ=t<È Ún¾‹ +I5eÃl2¯ÿQrZ¯7Ë_ÔZÉæHƒÒ?}Ö¨õžÍõšåÔ?֔ҖG©Oài‚yžÓÃߐýÊ»¹š¿-³J =Ž…xŸQ§ƒŒóe’µêíQô?áòd•0žÌ +K)«"ƒ[pFћåð F¼§—+ÈªþdÔÎ<„–7 în|^MåNß1Ï••ìþœªÌþPk¤%k8KÛ{>þüR•kFºj½n®2Ë"Bã|…ßâ¾þ¼P×WŒÑ“«Á>i™gp¡;ׁ¾ÏüÕ +‡ÙevK;ô؎^€–Vîò¬—t¢ŒÚìúvos‡ÒQÚÊ7ãݼ;Z¢QéôЪ°ãÞËmlW‡zïߧE…8Òu˜´ïTŸàq|1É'ûEL]èšà÷‘ÈÛlk–ÑæýMÿãUÓ´Æ$¥~&ãu¼ÏaEãš5ó\ñ]v2°mcª!ªeõ¬°åZщc¤Að¥Þx‹5¤,ÓûˆÏiê‘{zzpԊ²nèkˆ/ÙÒSTå˜Ê †Ä5x̾:ZíMç†5£^Þ®v5“ƒ€µ 0€}²d¬òîm2ÞçGi m#€áü+ck…^VLÇ0ŒKð4]2Ð0·^q8s=„³}©<˜(‚‘SÖgrªQló9µþ8zµcE]L×ÖàO0h + Ç¥^Ùto0¯i—åÙ À›¢ó +°èÊtZÊ|ˆÈNVœwÖ¦(&Û«%aA_$ CÓ4&ø—ïF½"¨²þõv•š©ÅþŠŸ(dùå9㊔Ï(€ù>l§žÅ¦HŒG¯ õŒ·Â2ÿXF›]¸îeúàíûÈsRj¨ú’á iu½šAqš5µú^a5/Ôlš«UÞä–ôòMè`Ì +ëXÑ(i52ƒÆ¦xoµ§é*»UÊK)ápß5`¸eGi:ªPO@§–«HŸŸ—Ô*ʟAגÎÈ­hOý¶ÿ{õ©‰äïÕ緟Ý]˜‹žRœ°í+•jF2xGæè©C\}tÒkœí8)TžS(~¼’êU+)„¾æm†‡¢ëKŠÁB¡4ó"ÛWóñØIM#ªgf®ÃºqkC\¥‡±{qùhj¿xøó?µfP +endstream +endobj + +18 0 obj +<< +/Type /Font +/Subtype /Type0 +/BaseFont /AAAAAA+CanvaSans-Regular +/Encoding /Identity-H +/DescendantFonts [20 0 R] +/ToUnicode 21 0 R +>> +endobj + +... and more... +```