--- title: "Oh WOW! That's new!" date: 2025-01-19T21:07:05+0100 #lastmod: summary: > This is the first time that I got a PDF file attached in a spam mail. Really, I had to look twice! tags: showBreadcrumbs: true showRelated: false --- Really, I had to look twice! {.lead} And I also looked twice into that PDF file (not analytically, but just to get an idea of what is inside). But first things first! ## The mail body ```text This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: username@*** Domain indiana-cccac.org has exceeded the max defers and failures per hour (5/5 (62%)) allowed. Message discarded. ``` It is basicly a multipart message with a delivery-status attached. The "original" message is attached and contains the following body: ```text Die Rechnung ist der E-Mail beigefügt. Fälligkeitsdatum: 2 Tage ``` The containing delivery-status report is: ```text Reporting-MTA: dns; cp30.machighway.com Action: failed Final-Recipient: rfc822;username@*** Status: 5.0.0 ``` ## The mail body source (html) ```text --1737016837-eximdsn-251261276 Content-type: text/plain; charset=us-ascii This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: username@*** Domain indiana-cccac.org has exceeded the max defers and failures per hour (5/5 (62%)) allowed. Message discarded. ``` ```text ------=_NextPart_000_0012_093718ED.5234615C Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: quoted-printable Die Rechnung ist der E-Mail beigef=C3=BCgt. F=C3=A4lligkeitsdatum: 2 Tage ``` ```text --1737016837-eximdsn-251261276 Content-type: message/delivery-status Reporting-MTA: dns; cp30.machighway.com Action: failed Final-Recipient: rfc822;username@*** Status: 5.0.0 ``` The rest is the original message which I will also include: ```text --1737016837-eximdsn-251261276 Content-type: message/rfc822 Return-path: Received: from [177.200.194.82] (port=60176 helo=ns1.bouton.com.br) by cp30.machighway.com with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.93) (envelope-from ) id 1tYLQa-0005M7-Q0 for username@***; Thu, 16 Jan 2025 03:40:37 -0500 From: username@*** To: username@*** Subject: Unbezahlte Rechnung Date: 16 Jan 2025 00:38:37 -0800 Message-ID: <20250116003837.EDA46C14EFF90662@***> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0012_093718ED.5234615C" This is a multi-part message in MIME format. ------=_NextPart_000_0012_093718ED.5234615C Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: quoted-printable Die Rechnung ist der E-Mail beigef=C3=BCgt. F=C3=A4lligkeitsdatum: 2 Tage ------=_NextPart_000_0012_093718ED.5234615C Content-Type: application/pdf; name="Rechnung 0991829-2025.pdf" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="Rechnung 0991829-2025.pdf" JVBERi0xLjQKJfbk/N8KMSAwIG9iago8PAovVHlwZSAvQ2F0YWxvZwovVmVyc2lvbiAvMS40 Ci9QYWdlcyAyIDAgUgovU3RydWN0VHJlZVJvb3QgMyAwIFIKL01hcmtJbmZvIDQgMCBSCi9M ... ``` The base64 encoded pdf file follows. ## Some mail headers ```text X-Spam-score: 10.0 X-Spam-hits: BAYES_20 -0.001, ME_NOAUTH 0.01, ME_SENDERREP_NEUTRAL 0.001, SH_HBL_FILE_SUSPICIOUS 10, SPF_HELO_NONE 0.001, SPF_NONE 0.001, LANGUAGES en, BAYES_USED user, SA_VERSION 4.0.0 X-Backscatter: Yes X-Backscatter-Hosts: 177.200.194.82, cp30.machighway.com X-Spam-source: IP='64.6.254.94', Host='cp30.machighway.com', Country='US', FromHeader='com', MailFrom='unk' X-Spam-charsets: plain='us-ascii' X-Attached: Rechnung 0991829-2025.pdf ARC-Authentication-Results: i=1; phl-mx-07.messagingengine.com; x-csa=none; x-me-sender=none; x-ptr=pass smtp.helo=cp30.machighway.com policy.ptr=cp30.machighway.com; bimi=skipped (DMARC did not pass); arc=none (no signatures found); dkim=none (no signatures found); dmarc=fail policy.published-domain-policy=none policy.applied-disposition=none policy.evaluated-disposition=none policy.arc-aware-result=fail (p=none,d=none,d.eval=none,arc_aware_result=fail) policy.policy-from=p header.from=cp30.machighway.com; iprev=pass smtp.remote-ip=64.6.254.94 (cp30.machighway.com); spf=none smtp.mailfrom="" smtp.helo=cp30.machighway.com ``` ## Attachments (PDF) I had a look into the PDF file with a text editor and I extracted the text of the image (**!**) as well. ```console $ ps2ascii Rechnung\ 0991829-2025.pdf Grüße Sie! Ich bin ein professioneller Hacker und habe erfolgreich Ihr Betriebssystem gehackt. Derzeit habe ich vollen Zugriff auf Ihr Konto. Darüber hinaus habe ich alle Ihre Aktivitäten heimlich überwacht und Sie mehrere Monate lang beobachtet. Die Sache ist die, dass Ihr Computer mit schädlicher Spyyware infiziert war, weil Sie zuvor eine Webseite mit pornnografischen Inhalten besucht hatten. Lassen Sie mich Ihnen erklären, was das bedeutet. Dank Trojaner-Viren kann ich mir vollständigen Zugriff auf Ihren Computer oder jedes andere Gerät, das Sie besitzen, verschaffen. Das bedeutet, dass ich absolut alles auf Ihrem Bildschirm sehen und die Kamera sowie das Mikrofon jederzeit ohne Ihre Erlaubnis einschalten kann. Darüber hinaus kann ich auch auf Ihre vertraulichen Informationen sowie auf Ihre E-Mails und Chat-Nachrichten zugreifen und diese einsehen. Vielleicht fragen Sie sich, warum Ihr Antivirusprogram meine Schadsoftware nicht erkennen kann. Ich erkläre es Ihnen kurz: Ich verwende eine treiberbasierte Schadsoftware, die ihre Signaturen alle 4 Stunden erneuert, so dass Ihr Antivirusprogramm sie nicht erkennen kann Ich habe eine Videozusammenstellung erstellt, die auf der linken Seite die Szenen zeigt, in denen Sie fröhlich masturbieren, während auf der rechten Seite das Video gezeigt wird, das Sie sich in diesem Moment angesehen haben.... Alles, was ich tun muss, ist, dieses Video an alle E-Mail Adressen und Messenger-Kontakte von Personen weiterzugeben, mit denen Sie auf Ihrem Gerät oder PC in Kontakt stehen. Darüber hinaus kann ich auch alle Ihre E-Mails und Chatverläufe veröffentlichen. Ich denke, dass Sie dies auf jeden Fall vermeiden möchten. Sie müssen daher Folgendes tun: Überweisen Sie Bitcoin im Gegenwert von 1800€ auf mein Bitcoin Konto (das ist ein ziemlich einfacher Vorgang, den Sie online nachlesen können, falls Sie nicht wissen, wie das geht). Sie können auch BITCOIN-Geldautomaten in Ihrer Nähe nutzen. Im Folgenden finden Sie die Informationenzu meinem Bitcoin Konto (Bitcoin Wallet): 1XXXdbF7hHhxFR1ZeoxvYRqv8D15dMEcX Sobald der erforderliche Betrag auf meinem Konto eingegangen ist, werde ich all diese Videos löschen und ein für alle Mal aus Ihrem Lebenverschwinden. Bitte stellen Sie sicher, dass Sie die oben genannte Überweisung innerhalb von 50 Stunden (2Tage +) durchführen. Ich werde eine Benachrichtigung erhalten, sobald Sie diese E-Mail öffnen, und der Countdown beginnt. Glauben Sie mir, ich bin sehr vorsichtig, berechnend und mache nie Fehler. Sollte ich feststellen, dass Sie diese Nachricht an andere weitergegeben haben, werde ich sofort damit beginnen, Ihre privaten Videos öffentlich öffentlich zu machen. . Viel Glück! ``` The file itself has this content (snipped): ```pdf %PDF-1.4 6 0 obj << /Title (Rechnung 0891829-2025 \(2\)-1.pdf) /Creator (Canva) /Producer (Canva) /CreationDate (D:20250115142947+00'00') /ModDate (D:20250115142947+00'00') /Keywords (DAGcRjXLRfg,BAGbiUJjRR8) /Author (Babes Savan) >> endobj 7 0 obj << /Type /Page /Resources << /ProcSet [/PDF /Text /ImageB /ImageC /ImageI] /ExtGState 10 0 R /Font 11 0 R >> /MediaBox [0.0 7.6200128 841.92 603.12] /Contents 12 0 R /StructParents 0 /Parent 2 0 R /Tabs /S /BleedBox [0.0 7.6200128 841.92 603.12] /TrimBox [0.0 7.6200128 841.92 603.12] /CropBox [0.0 7.6200128 841.92 603.12] /Rotate 0 /Annots [] >> endobj 8 0 obj << /Type /StructElem /S /Document /P 3 0 R /K [13 0 R] >> endobj 12 0 obj << /Length 4787 /Filter /FlateDecode >> stream xœí]M$Gå8¸`‚ÃHpØA¸·²2³*KYš¯µ}°„aòÅlɒ‘¼àâÿNötUwÖP¯*^ed÷Ìz½ïvÏÔG~D¾ñ"âûóMm»‡ÿ.ªøçÃôŸMe7¦¾øûwçߟo¿´¾ ëºæ¢vÁljñöŸçýýù¿â÷۟ô—8ü-þ¢¹ØþùÓ'ý_Þ~sþê{ñÍ¿®gLm/ÚÎm/óõùñÏSºOe›¦òM¯á_ÖoZ㛺¹øÐø3¡kŒß>Aõðƒñ v9<Á«OÍÅÕÕ«Ïo?»‹ŸüñÅÍÝíù͛óWŒ÷ÿ|õÚ]l/×Vñ?{ñæëøÓ±ý_|®7ߝ¿<ûÝåśoύٸPµ¦ÞÎЛœ_UÕ]÷ñö›f㬯i÷_Üß=|Ñm\ã*ëŸÛásº:„ýÝîJaBí\cw_¼<{ñpk»i;ÓøÆÿíròò×·WqcwÍÂÕ¯*s¾¸ÿüöüþ 56ñ"có‡ËÝçãì†&¼îoéCZïÏØõCà»ÚÙ¶}Óí…îûŸïlBå_öÖs7@ƒ£vƒ»¼\>·7Úº®}òH»õã㥚ֶfù%îv+±Ý´•3Ûݳø|môPÓã1÷P7÷ý-¼5¡IF~ßor áÆùòrØËMÛV]²wBÝß¡1¡Škvy%ßÜ #èºhÆjå‡Ýš‹a¯<Úçxć/:×FY/Ý`z3> SÞîFʀñc4·öá„«éÚ SO¢Ê¶Ë7— [eÓU͘ÛظQ—§ŽÜ?ÝmˆjÓÔ­éZ»üÊ÷®¿WÎ ¦ ¼\g¼={}Óߣ ®vU»üðáãÞî~ÃÄ7ìºPwfjÐS›.@ë¦c4ÝU{ø ¸SÑú™-ŸŒzmÓï¼(!ôêƒÁêƍëM,2°Š_œ]î¾öÁ×»AÝÒ$gšÊñÁ¡e+Ñ+¨a¬×ÃrŒK×·’3_ñ§àÔ˳.ûÝÜtÆu‡ÑFg%oëÑpÃhú‹H‹V |æ“k]Ï>Z9\2ðbâÙO˜³ÌÐá°¹ÞY!»éBÕ¶ö`ÿRä`¢šž ƒ"-ÄôtÎmQtãѓ6 @™¦p¢ù}^*o¦ÓÀä„ÕÔK ‘ó±³|Þ Iž2üËe¡z‹"o 'VreÌÍ($E#üà}b­Pè Þْ‘–PvV‹Ø†Ì˳ÿ ´ÆQtŽ+ǃ!Ӂµ_yô1Ún 6©’áH¬_¼V§@×p;×n¹Ý,‚ƒ¾p4ØZnÄ<ÖÚ´;ÖúÑó®r¶Y~/>œ®ÇS‘°e3õ˜À ÊÇë§Ô$nÐfC_>vf5h‰Ñ.B¼CHÞ/÷‚ !t-ì]»sš¼ï㏄iœ> Ÿ\k·pkM¯o¸§¿êU™MU›åµ…XúèMmn\¸BcêªÙ˾ßGôLQݲÄVkKãUí?NtØ®t̘?šX·ÙˆSún)êyxõt‘q³9†Õ>%äG6ŁȄfêRWTR:ø-Ö+2D«ŠóVÊQޙJàä)ã)O½ˆ®C׳֝GšÈ{¹â‘˜)Lƒ;Q\Uk„<åð0³ˆ¿1«sa=¶pŒr€îñD+4)¢ú„IGÍ /;ò-óËKÑõ&òV)"CŽB҉—ÅBêj5 92åKÜ2ʗӕ˜'¥?æ祮ðÝx ÏÍõñŮ֬ž¸wÉJ’‡$[d„tîPÏ4÷PžÒì<¡dîie‚Æ">×2*Q‘ë1 3 Y’æ¯2}΍à5¯+åb†8R*±•£H)ö « ^y¼ õ¯Ø$.5oŒÀbÁу€ ÒP&ªz,R9Ísy´žï—pxˆ¤a”™c¡¢3.CõÖð¯zcëP5‚²´Ú`ˆº°ôšÓ$`­§ÆÉ<£@]hñwÂÁZd­FˆÏ öB .XwïS )ù` ,Ü—ÃBôàîΧÉGž/¢@˜–´–Æ°s§ÒIÕàd<%Ó6‰ˆórièÏ`ùáã•Ì¿Â>Ôm3›€§ŒOŒŸi59м%‹Ú̽¶žõf:HzZ:™Gˆ}ÕÃ|(X5r:¥ÝàB=Fiâ'ãtû-Ôêø`ÛƒO¹zïy ŒŒoƒ´Æ‰Až°Òý‰ÈݚH«6Mp/Nm87=´io×kD$š­gé#%×$‚×ôþ}@$uÕÆXͅnñ½‹Ó¾ÂÙo«€<«>–‰Eq&¾!_FèZDÊT¡, R¡¸¢bF{iÔ åRGiq8R¬Ãs¸SMBñ0ԊÙÏkÄ~á,¥Á^žO™ªYDÊ=c²ö»yU«Ë×ÁÀNaP5²;½—`‰EØR{éæÿÅJfM_Š•O-5]!\ !4\OÊ5lP©”Æd}˜|sÂEÅV¢ð܌S˜Æ!ªÄv³^ðJ¥À)Hª‘$™S1%jÒdPO" 9™8£i’LD Óu녥öxgJVQX•r¹ —î˜k©í1–FX©ó;|¢ƒdÍmªÖ˜ÃöZûùüáëK7³ÔK @³ÿËYÏr–Q ¶aVu]Ú-¬6qJ­Õ4kªñÊ$چå@Ê4¬…Ï8ÞBbJ‘L—Ì°/¯ I5Íoí9—¥\ù|¬&£™ã©š]̑tj`3 ëè£1 «óP Ì*\±i3ú¦40âµ p÷¢@¼V)Qo°Õu¶^žýyØtUï A™|ȎïÇ«q5{Ì©ðVL×Ʋ<¨žáh-ßíÇõXë÷]C‹Úz^)sª§…J¥ º|Íp äÐཝdzíÈr»¼é6<3!àé!Ü¡sJTDGt‹ÃÜ%­NÀ¼ñ×*¿”çäèìû*uŒï}•ºgY¥®8‰.]\ÄޟOu*È{ÓðŽï…}}ø¼5œS¦×FC”¾ÌG÷ÓÔ¸¬‰yo‡å6°Õ¯Zk<}Å%=k7ã\wÆ+oŸÚ«i3ŸMûâJûðOUö wÄo µ"á\þörw™må:§B6åÿ~l†óJÕæõɌ±¨ìÒãdÄG®©/Si Xžá¶ng¸OÖûÑ·FFx³Í“kÒ¹’Ú€´‹:ßyI«˜Þ*ËGcuÐü¡ÚËN°Q/vWþvðOØPû:¯i²‰šÁ€Â›¢KtªëV ºÃn9•qM.¯gº®¸kYq_ ¦ñïKY^DgŸGgŸ÷aSoógàðLMdn/NñAo{ëڈƒ†3ìˆ6D&ôÅχ…Üvֆ!‹>–é~eqWGˆó6ñG͹ðn½›d7L½Œ\df#¥¨2³ñ¤#ý¥ÖDïviæ¦ë×De+{r2 ^3ÃâyÀÉUÆS1ë›~XQ\0 ðµñôDâG¨ñ Ý,²¨d†tkEò4Šè)l¹ŠV¥Õ?O°bъfC¥üKEr‚ŸEØǐH\K÷¨17×­ëPPBŽ4’¨cxAKÙ»"˜O$«@”Ä_ž}ÕÏY„N®ªegŸ^{ÌxÓZ»põQǧ`ÃaÅ﹑µB1+45KĐÉäÅ jKR'yµ¼z†§¸±˜¤Dì u2àlάÀ£ÏòK…õXGì;x¡w¢â|í¾Òáñç!uÙ¢ÑB¥½$¥º–Š \Ÿ°iéÈð˜$ÏlZ¨V΋áXa™R˜dº<ӓŽ˜Ó÷-M°ösŸ`¸Ó —J¶—go/ûæLÁ©K‰æ–÷ >·2²×Ôñãۅ "{gÿÙg²Ôu׸•ŸÎŽh˜ºÄ±»´müù=ÙÀFWo?>~ñëÞ¾[Dž:[ç`?Ë_^î)Nä>ÞLÓ_Ø:®ûI«Œ ¶kçŸçì/{ßwí«üÂpþ0EÐK%~-Hê8Ûoƒ¸ «Ö/<æU5î|‡t¿ þÛß¹3m]3ÿüۃ2Lϸ>’[Bå]·§žéøÄ]6ı—ÔǟNï:¹zö’z»¸[Äs¸Œë\mԂµVíŒ=t<È Ún¾‹ I5eÃl2¯ÿQrZ¯7Ë_ÔZÉæHƒÒ?}Ö¨õžÍõšåÔ?֔ҖG©Oài‚yžÓÃߐýÊ»¹š¿-³J =Ž…xŸQ§ƒŒóe’µêíQô?áòd•0žÌ K)«"ƒ[pFћåð F¼§—+ÈªþdÔÎ<„–7 în|^MåNß1Ï••ìþœªÌþPk¤%k8KÛ{>þüR•kFºj½n®2Ë"Bã|…ßâ¾þ¼P×WŒÑ“«Á>i™gp¡;ׁ¾ÏüÕ ‡ÙevK;ô؎^€–Vîò¬—t¢ŒÚìúvos‡ÒQÚÊ7ãݼ;Z¢QéôЪ°ãÞËmlW‡zïߧE…8Òu˜´ïTŸàq|1É'ûEL]èšà÷‘ÈÛlk–ÑæýMÿãUÓ´Æ$¥~&ãu¼ÏaEãš5ó\ñ]v2°mcª!ªeõ¬°åZщc¤Að¥Þx‹5¤,ÓûˆÏiê‘{zzpԊ²nèkˆ/ÙÒSTå˜Ê †Ä5x̾:ZíMç†5£^Þ®v5“ƒ€µ 0€}²d¬òîm2ÞçGi m#€áü+ck…^VLÇ0ŒKð4]2Ð0·^q8s=„³}©<˜(‚‘SÖgrªQló9µþ8zµcE]L×ÖàO0h Ç¥^Ùto0¯i—åÙ À›¢ó °èÊtZÊ|ˆÈNVœwÖ¦(&Û«%aA_$ CÓ4&ø—ïF½"¨²þõv•š©ÅþŠŸ(dùå9㊔Ï(€ù>l§žÅ¦HŒG¯ õŒ·Â2ÿXF›]¸îeúàíûÈsRj¨ú’á iu½šAqš5µú^a5/Ôlš«UÞä–ôòMè`Ì ëXÑ(i52ƒÆ¦xoµ§é*»UÊK)ápß5`¸eGi:ªPO@§–«HŸŸ—Ô*ʟAגÎÈ­hOý¶ÿ{õ©‰äïÕ緟Ý]˜‹žRœ°í+•jF2xGæè©C\}tÒkœí8)TžS(~¼’êU+)„¾æm†‡¢ëKŠÁB¡4ó"ÛWóñØIM#ªgf®ÃºqkC\¥‡±{qùhj¿xøó?µfP endstream endobj 18 0 obj << /Type /Font /Subtype /Type0 /BaseFont /AAAAAA+CanvaSans-Regular /Encoding /Identity-H /DescendantFonts [20 0 R] /ToUnicode 21 0 R >> endobj ... and more... ```