NotAFakerAnymore - Discord Phishingversuch durch vermeidliche "Farming Bots"

Zitat von Doppelbemme

Zitat von OWLY7

Liebe Community,

mich schrieb ein Discord-User "HandelsReisende“ (User-ID: 943127151601930290) an. Dabei handelt es sich um den Griefergames-Spieler "NotAFakerAnymore".

Dieser schrieb nämlich parallel einen Kontakt von mir an und fragte diesen über mich aus. Die selben Fragen stellte er mir im Discord.

Dieser gab vor, er hätte ein spektakuläres Angebot für mich, was man nicht ausschlagen könne. Ich gab mich natürlich sofort interessiert und hakte nach.

Der besagte Spieler gab an einen super premium Farm-Bot für mich zu haben, der mich reich werden lässt!

Quartz Farmen mit einem Gewinn von 1,5 - 2 Mio in 3 Stunden. Wer möchte das nicht! Ich sah die Mios schon auf meinem Konto, nie endender Reichtum. Ich spielte das Spiel mit.

Ganz leer ausgehen wollte der großzügige Spieler natürlich nicht. Er verlange nur 10% Beteiligung des Gewinns - ein echter Gatsby!

Ich, der immer noch auf total interessiert und unwissend machte, bat ihm mir die benötigten Dateien zu senden, die ich für den "Farm-Bot" brauchte.

Daraufhin hat er mir die Datei "BariOres_._1.8.6.jar" gesendet. Ein angeblicher Installer des Bots.

Ich habe das falsche Spiel natürlich von Anfang an gerochen, also habe ich die Java-Datei einmal dekompiliert, also in seinem Quellcode zurückversetzt.

Dort sind mir ein paar Zeilen Code aufgefallen, die meine Nutzerdaten sowie meine IP-Adresse, wenn ich die Datei ausgeführt hätte über ein Discord Webhook an einem Discord-Server gesendet hätte. Discords eingebaute Webhooks-Funktion ist eine einfache Möglichkeit, automatische Nachrichten und Updates in einen Text-Kanal auf deinem Server zu schicken.

Dies bestätigte mir dann, dass in der Datei eine Phishing Methode eingebaut wurde und es sich nicht um einen "Farming-Bot" handelt.

Um sicherzugehen, dass meine 8-Jährige Berufserfahrung als Informatiker mich dieses mal nicht getäuscht hat, habe ich die Datei natürlich zusätzlich auf Virustotal hochgeladen. Den Befund könnt ihr hier einsehen : https://www.virustotal.com/gui/file/234d0…bf3f5?nocache=1

Um den Drahtziehern ein wenig zu ärgern und darauf aufmerksam zu machen, dass der Versuch bei mir leider nicht geklappt hat, habe ich mir es nicht nehmen lassen mit dem mir vorliegenden Webhook deren Discord Server in namen des Accounts, der die eigentlichen Accountdaten zusendet vollzuspammen

Video:

Youtube - Spam

Liebe "Hacker", benutzt doch das nächste Mal wenigstens einen Obfuscator um den Quellcode ein wenig unleserlich zu machen.

Lasst euch nicht abzocken Leute und habt immer eure Augen auf ! 100% aller ausführbarer Dateien oder Dateien aus Discord DM’s, die irgendwo hinkopiert werden sollen sind Phishing oder Viren!!

Alles anzeigen

Heyho.

Kannst du mir die jar zukommen lassen? Ich würde mich auch gerne mal durch den Code stöbern. Finde sowas mega interessant ✌️

Alles anzeigen

Ich schicke sie dir auch gerne NotAScammer#6227

autschn

sehe ich da etwa das sich einer des Datendiebstahls schuldig macht..

wenn ja ,denn haben wir das

§ 202a StGB - Ausspähen von Daten - dejure.org

welches da sagt

"

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden."

na dann sollte sich doch tatsache mal einer der Admins diesem Thema annehmen .

oh und da derjenige wohl über einem gewissen Alter ist haut der Richter bei solchen dingen mal gerne volles strafmaß rein.

Zitat von aegis737

autschn

sehe ich da etwa das sich einer des Datendiebstahls schuldig macht..

wenn ja ,denn haben wir das

https://dejure.org/gesetze/StGB/202a.html

welches da sagt

"

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden."

na dann sollte sich doch tatsache mal einer der Admins diesem Thema annehmen .

oh und da derjenige wohl über einem gewissen Alter ist haut der Richter bei solchen dingen mal gerne volles strafmaß rein.

Alles anzeigen

alman

Pikachu123x

Zitat von xReAcTiiOnZx_

Zitat von Tomate

alman

Pikachu123x

Lass meinen süßen Rentner aegis er ist wirklich der netteste Rentner den ich auf gg kenne

tut mir leid :c

Zitat von OWLY7

Nein, er greift lediglich auf deine Accountinformationen zu, die ihm automatisch über Discord zugesendet werden. Ein direkter Remote-Zugriff auf deinem PC ist nicht möglich.

Der User hat sich in Discord inzwischen umbenannt zu „NotAScammer“.

Zitat von RentnerImBenz

Ich schicke sie dir auch gerne NotAScammer#6227

Wie kann man sich selber so busten? RentnerImBenz

Zitat von verbvllert_

Zitat von OWLY7

Nein, er greift lediglich auf deine Accountinformationen zu, die ihm automatisch über Discord zugesendet werden. Ein direkter Remote-Zugriff auf deinem PC ist nicht möglich.

Der User hat sich in Discord inzwischen umbenannt zu „NotAScammer“.

Zitat von RentnerImBenz

Ich schicke sie dir auch gerne NotAScammer#6227

Wie kann man sich selber so busten? RentnerImBenz

Ließ mal meinen text davor den großen und ließ net nur das was du lesen willst

Zitat von RentnerImBenz

Zitat von verbvllert_

Wie kann man sich selber so busten? RentnerImBenz

Ließ mal meinen text davor den großen und ließ net nur das was du lesen willst

Peinlich peinlich peinlich

Zitat von Doppelbemme

Zitat von OWLY7

Liebe Community,

mich schrieb ein Discord-User "HandelsReisende“ (User-ID: 943127151601930290) an. Dabei handelt es sich um den Griefergames-Spieler "NotAFakerAnymore".

Dieser schrieb nämlich parallel einen Kontakt von mir an und fragte diesen über mich aus. Die selben Fragen stellte er mir im Discord.

Dieser gab vor, er hätte ein spektakuläres Angebot für mich, was man nicht ausschlagen könne. Ich gab mich natürlich sofort interessiert und hakte nach.

Der besagte Spieler gab an einen super premium Farm-Bot für mich zu haben, der mich reich werden lässt!

Quartz Farmen mit einem Gewinn von 1,5 - 2 Mio in 3 Stunden. Wer möchte das nicht! Ich sah die Mios schon auf meinem Konto, nie endender Reichtum. Ich spielte das Spiel mit.

Ganz leer ausgehen wollte der großzügige Spieler natürlich nicht. Er verlange nur 10% Beteiligung des Gewinns - ein echter Gatsby!

Ich, der immer noch auf total interessiert und unwissend machte, bat ihm mir die benötigten Dateien zu senden, die ich für den "Farm-Bot" brauchte.

Daraufhin hat er mir die Datei "BariOres_._1.8.6.jar" gesendet. Ein angeblicher Installer des Bots.

Ich habe das falsche Spiel natürlich von Anfang an gerochen, also habe ich die Java-Datei einmal dekompiliert, also in seinem Quellcode zurückversetzt.

Dort sind mir ein paar Zeilen Code aufgefallen, die meine Nutzerdaten sowie meine IP-Adresse, wenn ich die Datei ausgeführt hätte über ein Discord Webhook an einem Discord-Server gesendet hätte. Discords eingebaute Webhooks-Funktion ist eine einfache Möglichkeit, automatische Nachrichten und Updates in einen Text-Kanal auf deinem Server zu schicken.

Dies bestätigte mir dann, dass in der Datei eine Phishing Methode eingebaut wurde und es sich nicht um einen "Farming-Bot" handelt.

Um sicherzugehen, dass meine 8-Jährige Berufserfahrung als Informatiker mich dieses mal nicht getäuscht hat, habe ich die Datei natürlich zusätzlich auf Virustotal hochgeladen. Den Befund könnt ihr hier einsehen : https://www.virustotal.com/gui/file/234d0…bf3f5?nocache=1

Um den Drahtziehern ein wenig zu ärgern und darauf aufmerksam zu machen, dass der Versuch bei mir leider nicht geklappt hat, habe ich mir es nicht nehmen lassen mit dem mir vorliegenden Webhook deren Discord Server in namen des Accounts, der die eigentlichen Accountdaten zusendet vollzuspammen

Video:

Youtube - Spam

Liebe "Hacker", benutzt doch das nächste Mal wenigstens einen Obfuscator um den Quellcode ein wenig unleserlich zu machen.

Lasst euch nicht abzocken Leute und habt immer eure Augen auf ! 100% aller ausführbarer Dateien oder Dateien aus Discord DM’s, die irgendwo hinkopiert werden sollen sind Phishing oder Viren!!

Alles anzeigen

Wenn man sich den Code auf dem Bild ansieht, lassen sich bei der Nachricht 3 Funktionen erkennen, die benutzt werden könnten.

Die für mich logischste Funktion ist in diesem Fall diese hier.

Code

Minecraft.func_71410_x().func_110432_I().*** (Aus Sicherheitsgründen entfernt ^^)

Diese Info gibt eure SessionID zurück.

Jetzt weiß ich aus der Webentwicklung, dass man Sessions mit diesen ID´s übernehmen und sich quasi ohne Email und Passwort in einen Account damit "anmelden" kann.

Ist das in Minecraft ebenso möglich? Hier kenne ich mich nicht genug aus, um dazu etwas erzählen zu können.

Alles anzeigen

Ja, ist in Minecraft auch möglich

Zitat von Doppelbemme

Kleines Update.
Ich habe mir den Code mal genauer angeschaut und die Stelle OWLY7 hier gezeigt hat überträgt keinerlei Benutzerdaten.
Es sendet lediglich eine Discord Nachricht an einen Server mit der ID:

Code

871018934365732865

Die Nachricht ist eine Discord Notification für Flips auf Hypixel. Nur warum genau die IP mit gesendet wird, ist mir aktuell noch zu hoch. Wenn ich mehr rausgefunden habe, melde ich mich wieder

jap, bin auch dran, ist mega spannend

Zitat von Doppelbemme

Kleines Update.
Ich habe mir den Code mal genauer angeschaut und die Stelle OWLY7 hier gezeigt hat überträgt keinerlei Benutzerdaten.
Es sendet lediglich eine Discord Nachricht an einen Server mit der ID:

Code

871018934365732865

Die Nachricht ist eine Discord Notification für Flips auf Hypixel. Nur warum genau die IP mit gesendet wird, ist mir aktuell noch zu hoch. Wenn ich mehr rausgefunden habe, melde ich mich wieder

Wie ist das eigentlich mit so malware ? Kann die schon übertragen werden, wenn man nur nen Link anklickt? Und muss man die Dateien erst ausführen oder kann man auch nur vom runterladen gehacked werden?

Zitat von Doppelbemme

Zitat von BigBlueFox

Kommt auf die Art und Methode an. Du kannst mit Websites bereits Schadcode über iFrames etc. verbreiten, da reicht manchmal schon das Laden. Es gibt immer wieder neue, Unbekannte und perfide Exploits auf die man reinfallen kann. Deshalb sollte man schon beim Klicken auf Links vorsichtig sein. Und immer alles sofort updaten, wenn es Updates gibt. Das ist noch der beste Schutz gegen solche Schlupflöcher.

Geb ich dir recht. Obwohl ich nichts gefunden habe, würde ich den Mod definitiv nicht ausführen

Hab die mod eh nicht zugeschickt bekommen xD Wollte nur mal wissen wie weit das mit den Viren geht, weil ich sonst auch immer vorsichtig bin, es hat mich nur mal interessiert, inwiefern etwas passieren kann wenn man auf nen Link klicked

ich teste die mod mal in ner sandbox

Naja dieser NotAFakerAnymore aka 001Jannes oder RenterImBenz ist so ein, Sagen wir meme Scammer^^ RentnerImBenz

Up