Skip to main content
  1. Mail spam I received/

Oh WOW! That's new!

·1084 words·6 mins
Table of Contents

Really, I had to look twice!

And I also looked twice into that PDF file (not analytically, but just to get an idea of what is inside).

But first things first!

The mail body #

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  username@***
    Domain indiana-cccac.org has exceeded the max defers and failures per hour (5/5 (62%)) allowed. Message discarded.

It is basicly a multipart message with a delivery-status attached. The “original” message is attached and contains the following body:

Die Rechnung ist der E-Mail beigefügt.
Fälligkeitsdatum: 2 Tage

The containing delivery-status report is:

Reporting-MTA: dns; cp30.machighway.com

Action: failed
Final-Recipient: rfc822;username@***
Status: 5.0.0

The mail body source (html) #

--1737016837-eximdsn-251261276
Content-type: text/plain; charset=us-ascii

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  username@***
    Domain indiana-cccac.org has exceeded the max defers and failures per hour (5/5 (62%)) allowed. Message discarded.

------=_NextPart_000_0012_093718ED.5234615C
Content-Type: text/plain;
        charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Die Rechnung ist der E-Mail beigef=C3=BCgt.
F=C3=A4lligkeitsdatum: 2 Tage

--1737016837-eximdsn-251261276
Content-type: message/delivery-status

Reporting-MTA: dns; cp30.machighway.com

Action: failed
Final-Recipient: rfc822;username@***
Status: 5.0.0

The rest is the original message which I will also include:

--1737016837-eximdsn-251261276
Content-type: message/rfc822

Return-path: <username@***>
Received: from [177.200.194.82] (port=60176 helo=ns1.bouton.com.br)
        by cp30.machighway.com with esmtpsa  (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        (Exim 4.93)
        (envelope-from <username@***>)
        id 1tYLQa-0005M7-Q0
        for username@***; Thu, 16 Jan 2025 03:40:37 -0500
From: username@***
To: username@***
Subject: Unbezahlte Rechnung
Date: 16 Jan 2025 00:38:37 -0800
Message-ID: <20250116003837.EDA46C14EFF90662@***>
MIME-Version: 1.0
Content-Type: multipart/mixed;
        boundary="----=_NextPart_000_0012_093718ED.5234615C"

This is a multi-part message in MIME format.

------=_NextPart_000_0012_093718ED.5234615C
Content-Type: text/plain;
        charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Die Rechnung ist der E-Mail beigef=C3=BCgt.
F=C3=A4lligkeitsdatum: 2 Tage
------=_NextPart_000_0012_093718ED.5234615C
Content-Type: application/pdf; name="Rechnung 0991829-2025.pdf"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Rechnung 0991829-2025.pdf"

JVBERi0xLjQKJfbk/N8KMSAwIG9iago8PAovVHlwZSAvQ2F0YWxvZwovVmVyc2lvbiAvMS40
Ci9QYWdlcyAyIDAgUgovU3RydWN0VHJlZVJvb3QgMyAwIFIKL01hcmtJbmZvIDQgMCBSCi9M
...

The base64 encoded pdf file follows.

Some mail headers #

X-Spam-score: 10.0
X-Spam-hits: BAYES_20 -0.001, ME_NOAUTH 0.01, ME_SENDERREP_NEUTRAL 0.001,
  SH_HBL_FILE_SUSPICIOUS 10, SPF_HELO_NONE 0.001, SPF_NONE 0.001,
  LANGUAGES en, BAYES_USED user, SA_VERSION 4.0.0
X-Backscatter: Yes
X-Backscatter-Hosts: 177.200.194.82, cp30.machighway.com
X-Spam-source: IP='64.6.254.94', Host='cp30.machighway.com', Country='US',
  FromHeader='com', MailFrom='unk'
X-Spam-charsets: plain='us-ascii'
X-Attached: Rechnung 0991829-2025.pdf
ARC-Authentication-Results: i=1; phl-mx-07.messagingengine.com;
    x-csa=none;
    x-me-sender=none;
    x-ptr=pass smtp.helo=cp30.machighway.com policy.ptr=cp30.machighway.com;
    bimi=skipped (DMARC did not pass);
    arc=none (no signatures found);
    dkim=none (no signatures found);
    dmarc=fail policy.published-domain-policy=none
    policy.applied-disposition=none policy.evaluated-disposition=none
    policy.arc-aware-result=fail
    (p=none,d=none,d.eval=none,arc_aware_result=fail) policy.policy-from=p
    header.from=cp30.machighway.com;
    iprev=pass smtp.remote-ip=64.6.254.94 (cp30.machighway.com);
    spf=none smtp.mailfrom="" smtp.helo=cp30.machighway.com

Attachments (PDF) #

I had a look into the PDF file with a text editor and I extracted the text of the image (!) as well.

$ ps2ascii Rechnung\ 0991829-2025.pdf
 Grüße Sie!
 Ich bin ein professioneller Hacker und habe erfolgreich Ihr Betriebssystem gehackt.
 Derzeit habe ich vollen Zugriff auf Ihr Konto.
 Darüber hinaus habe ich alle Ihre Aktivitäten heimlich überwacht und Sie mehrere Monate lang beobachtet.
 Die Sache ist die, dass Ihr Computer mit schädlicher Spyyware infiziert war, weil Sie zuvor eine Webseite mit pornnografischen Inhalten besucht
 hatten.
 Lassen Sie mich Ihnen erklären, was das bedeutet.
 Dank Trojaner-Viren kann ich mir vollständigen Zugriff auf Ihren Computer oder jedes andere Gerät, das Sie besitzen, verschaffen.
 Das bedeutet, dass ich absolut alles auf Ihrem Bildschirm sehen und die Kamera sowie das Mikrofon jederzeit ohne Ihre Erlaubnis einschalten kann.
 Darüber hinaus kann ich auch auf Ihre vertraulichen Informationen sowie auf Ihre E-Mails und Chat-Nachrichten zugreifen und diese einsehen.
 Vielleicht fragen Sie sich, warum Ihr Antivirusprogram meine Schadsoftware nicht erkennen kann.
 Ich erkläre es Ihnen kurz:
 Ich verwende eine treiberbasierte Schadsoftware, die ihre Signaturen alle 4 Stunden erneuert, so dass Ihr Antivirusprogramm sie nicht erkennen kann
 Ich habe eine Videozusammenstellung erstellt, die auf der linken Seite die Szenen zeigt, in denen Sie fröhlich masturbieren, während auf der
 rechten Seite das Video gezeigt wird, das Sie sich in diesem Moment angesehen haben....
 Alles, was ich tun muss, ist, dieses Video an alle E-Mail Adressen und Messenger-Kontakte von Personen weiterzugeben, mit denen Sie auf
 Ihrem Gerät oder PC in Kontakt stehen.
 Darüber hinaus kann ich auch alle Ihre E-Mails und Chatverläufe veröffentlichen.
 Ich denke, dass Sie dies auf jeden Fall vermeiden möchten.
 Sie müssen daher Folgendes tun: Überweisen Sie Bitcoin im Gegenwert von 1800€ auf mein Bitcoin Konto
 (das ist ein ziemlich einfacher Vorgang, den Sie online nachlesen können, falls Sie nicht wissen, wie das geht).
 Sie können auch BITCOIN-Geldautomaten in Ihrer Nähe nutzen.
 Im Folgenden finden Sie die Informationenzu meinem Bitcoin Konto (Bitcoin Wallet): 1XXXdbF7hHhxFR1ZeoxvYRqv8D15dMEcX
 Sobald der erforderliche Betrag auf meinem Konto eingegangen ist, werde ich all diese Videos löschen und ein für alle Mal aus Ihrem
 Lebenverschwinden.
 Bitte stellen Sie sicher, dass Sie die oben genannte Überweisung innerhalb von 50 Stunden (2Tage +) durchführen.
 Ich werde eine Benachrichtigung erhalten, sobald Sie diese E-Mail öffnen, und der Countdown beginnt.
 Glauben Sie mir, ich bin sehr vorsichtig, berechnend und mache nie Fehler.
 Sollte ich feststellen, dass Sie diese Nachricht an andere weitergegeben haben, werde ich sofort damit beginnen, Ihre privaten Videos öffentlich
 öffentlich zu machen.
 .
 Viel Glück!

The file itself has this content (snipped):

%PDF-1.4

6 0 obj
<<
/Title (Rechnung 0891829-2025 \(2\)-1.pdf)
/Creator (Canva)
/Producer (Canva)
/CreationDate (D:20250115142947+00'00')
/ModDate (D:20250115142947+00'00')
/Keywords (DAGcRjXLRfg,BAGbiUJjRR8)
/Author (Babes Savan)
>>
endobj

7 0 obj
<<
/Type /Page
/Resources <<
/ProcSet [/PDF /Text /ImageB /ImageC /ImageI]
/ExtGState 10 0 R
/Font 11 0 R
>>
/MediaBox [0.0 7.6200128 841.92 603.12]
/Contents 12 0 R
/StructParents 0
/Parent 2 0 R
/Tabs /S
/BleedBox [0.0 7.6200128 841.92 603.12]
/TrimBox [0.0 7.6200128 841.92 603.12]
/CropBox [0.0 7.6200128 841.92 603.12]
/Rotate 0
/Annots []
>>
endobj
8 0 obj
<<
/Type /StructElem
/S /Document
/P 3 0 R
/K [13 0 R]
>>
endobj

12 0 obj
<<
/Length 4787
/Filter /FlateDecode
>>
stream
xœí]M$Gå8¸`‚ÃHpØA¸·²2³*KYš¯µ}°„aòÅlɒ‘¼àâÿNötUwÖP¯*^ed÷Ìz½ïvÏÔG~D¾ñ"âûóMm»‡ÿ.ªøçÃôŸMe7¦¾øûwçߟo¿´¾
ëºæ¢vÁljñöŸçýýù¿â÷۟ô—8ü-þ¢¹ØþùÓ'ý_Þ~sþê{ñÍ¿®gLm/ÚÎm/óõùñÏSºOe›¦òM¯á_ÖoZ㛺¹øÐø3¡kŒß>Aõðƒñ	v9<Á«OÍÅÕÕ«Ïo?»‹ŸüñÅÍÝíù͛óWŒ÷ÿ|õÚ]l/×Vñ?{ñæëøÓ±ý_|®7ߝ¿<ûÝåśoύٸPµ¦ÞÎЛœ_UÕ]÷ñö›f㬯i÷_Üß=|Ñm\ã*ëŸÛásº:„ýÝîJaBí\cw_¼<{ñpk»i;ÓøÆÿíròò×·WqcwÍÂÕ¯*s¾¸ÿüöüþ
56ñ"có‡ËÝçãì†&¼îoéCZïÏØõCà»ÚÙ¶}Óí…îûŸïlBå_öÖs7@ƒ£vƒ»¼\>·7Úº®}òH»õã㥚ֶfù%îv+±Ý´•3Ûݳø|môPÓã1÷P7÷ý-¼5¡IF~ßoráÆùòrØËMÛV]²wBÝß¡1¡Škvy%ßÜ#èºhÆjå‡Ýš‹a¯<Úçxć/:×FY/Ý`z3>
SÞîFʀñc4·öá„«éÚ
SO¢Ê¶Ë7—	[eÓU͘ÛظQ—§ŽÜ?ÝmˆjÓÔ­éZ»üÊ÷®¿WΦ
¼\g¼={}Óߣ
®vU»üðáãÞî~ÃÄ7ìºPwfjÐS›.@ë¦c4ÝU{ø
¸SÑú™-ŸŒzmÓï¼(!ôêƒÁêƍëM,2°Š_œ]î¾öÁ×»AÝÒ$gšÊñÁ¡e+Ñ+¨a¬×ÃrŒK×·’3_ñ§àÔ˳.ûÝÜtÆu‡ÑFg%oëÑpÃhú‹H‹V|æ“k]Ï>Z9\2<B„–]*Ùh獜šç‘[4„sɱ–5«qúÜüqZNø
Z²ô&çoü“0ƋwMu@"Á]qáè@
‰‰¿ïši|´䑼΄«4f_Îrœ²Ää±ñóëIâÜÚ|½sSoŒó6xCå^oÙÅô½³hy؏wêÜK/O²(H>ðbâÙO˜³ÌÐá°¹ÞY!»éBÕ¶ö`ÿRä`¢šž	ƒ"-ÄôtÎmQtãѓ6	@™¦p¢ù}^*o¦ÓÀä„ÕÔK ‘ó±³|ÞIž2<V"Ý$3.¿Ô
Ú¬°…~¡2ÖÚE
ïŒ?çf:ûÙƂ5Æ5‡Ý„¹´þ0Nˆ¿cY–ƒB%vU™í¸¦2Ës—BÍhÙÀús’£A½©M†%pÙ@Ç+þ‚F{:¤fz#P‡ÝA“s7v]:×-Ï5¡$‹?u«÷Ø$›àVߙ´Lo¢“ k<ɐ4@ª±˜d߆œ…ø“ƒèo/{Û)ONàôç£>üËe¡z‹"o
'VreÌÍ($E#üà}b­Pè
Þْ‘–PvV‹Ø†Ì˳ÿ
´ÆQtŽ+ǃ!Ӂµ_yô1Ún 6©’áH¬_¼V§@×p;×n¹Ý,‚ƒ¾p4ØZnÄ<ÖÚ´;ÖúÑó®r¶Y~/>œ®ÇS‘°e3õ˜À
ÊÇë§Ô$nÐfC_>vf5h‰Ñ.B¼CHÞ/÷‚
!t-ì]»sš¼ï㏄iœ>
Ÿ\k·pkM¯o¸§¿êU™MU›åµ…XúèMmn\¸BcêªÙ˾ßGôLQݲÄVkKãUí?NtØ®t̘?šX·ÙˆSún)êyxõt‘q³9†Õ>%äG6ŁȄfêRWTR:ø-Ö+2D«ŠóVÊQޙJàä)ã)O½ˆ®C׳֝GšÈ{¹â‘˜)Lƒ;Q\Uk„<åð0³ˆ¿1«sa=¶pŒr€îñD+4)¢ú„IGÍ
/;ò-óËKÑõ&òV)"CŽB҉—ÅBêj592åKÜ2ʗӕ˜'¥?æ祮ðÝxÏÍõñŮ֬ž¸wÉJ’‡$[d„tîPÏ4÷PžÒì<¡dîie‚Æ">×2*Q‘ë13 Y’æ¯2}΍à5¯+åb†8R*±•£H)ö«^y¼õ¯Ø$.5oŒÀbÁу€ÒP&ªz,R9Ísy´žï—pxˆ¤a”™c¡¢3.CõÖð¯zcëP5‚²´Ú`ˆº°ôšÓ$`­§ÆÉ<£@]hñwÂÁZd­FˆÏ	öB	.XwïS	)ù` ,Ü—ÃBôàîΧÉGž/¢@˜–´–Æ°s§ÒIÕàd<%Ó6‰ˆórièÏ`ùáã•<rÐ)¨ŠåŽè‚Q"×OŠËÓz1Os„çA¡R².èÓ¦]2d¬KæfXv¡ÅMÛ&,Ï›N	ûf®Z_7aZ+“—sÈW,:F^#%Aæ3E‚ëZ+P3ñ¤E+dùAÙuœ·¨söœu);Ê<¦ËI!…ˆ—ë‰-Y;F-B%ŠmÆ9AàJNG˜¿¸‚ª°ð›®kIÏÎQdȐ†JÆ‘J'&Ã*1|-(@â«ÄȆÕ/zå¯t«ºÒA2³F‹º¢H
GŒèDcžìB:ÈÇ=ùX\ÏGÎr®ãn”•–wS8@=2SSÒú•4aã'<Jy±EÅ`ª­ŽTÃû9å­y‹Â5AÊ{œpé6ä¸O“ò¬æÚ¯^¥Ý±V)¬‚ªY¶ŒNzcµ}+Ö/çaïÌûÎyŽ¥WsNTëJ¦C¤Ù(~ÈW¦Ë‰$W²~§WBvy¡–¨zMñj ´n’QTYTŸ“9^›I–L`uYÕ`÷>Ì¿Â>Ôm3›€§ŒOŒŸi59м%‹Ú̽¶žõf:HzZ:™Gˆ}ÕÃ|(X5r:¥ÝàB=Fiâ'ãtû-Ôêø`ÛƒO¹zïy ŒŒoƒ´Æ‰Až°Òý‰ÈݚH«6Mp/Nm87=´io×kD$š­gé#%×$‚×ôþ}@$uÕÆXͅnñ½‹Ó¾ÂÙo«€<«>–‰Eq&¾!_FèZDÊT¡, R¡¸¢bF{iÔ
åRGiq8R¬Ãs¸SMBñ0ԊÙÏkÄ~á,¥Á^žO™ªYDÊ=c²ö»yU«Ë×ÁÀNaP5²;½—`‰EØR{éæÿÅJfM_Š•O-5]!\ !4\OÊ5lP©”Æd}˜|sÂEÅV¢ð܌S˜Æ!ªÄv³^ðJ¥À)Hª‘$™S1%jÒdPO" 9™8£i’LDÓu녥öxgJVQX•r¹—î˜k©í1–FX©ó;|¢ƒdÍmªÖ˜ÃöZûùüáëK7³ÔK@³ÿËYÏr–Q¶aVu]Ú-¬6qJ­Õ4kªñÊ$چå@Ê4¬…Ï8ÞBbJ‘L—Ì°/¯I5Íoí9—¥\ù|¬&£™ã©š]̑tj`3 ëè£1
«óP	Ì*\±i3ú¦40âµ p÷¢@¼V)Qo°Õu¶^žýyØtUï A™|ȎïÇ«q5{Ì©ðVL×Ʋ<¨žáh-ßíÇõXë÷]C‹Úz^)sª§…J¥º|Íp
äÐཝdzíÈr»¼é6<3!àé!Ü¡sJTDGt‹ÃÜ%­NÀ¼ñ×*¿”çäèìû*uŒï}•ºgY¥®8‰.]\ÄޟOu*È{ÓðŽï…}}ø¼5œS¦×FC”¾ÌG÷ÓÔ¸¬‰yo‡å6°Õ¯Zk<}Å%=k7ã\wÆ+oŸÚ«i3ŸMûâJûðOUö
wÄo µ"á\þörw™må:§B6åÿ~l†óJÕæõɌ±¨ìÒãdÄG®©/Si	Xžá¶ng¸OÖûÑ·FFx³Í“kÒ¹’Ú€´‹:ßyI«˜Þ*ËGcuÐü¡ÚËN°Q/vWþvðOØPû:¯i²‰šÁ€Â›¢KtªëV ºÃn9•qM.¯gº®¸kYq_¦ñïKY^DgŸGgŸ÷aSoógàðLMdn/NñAo{ëڈƒ†3ìˆ6D&ôÅχ…Üvֆ!‹>–é~eqWGˆó6ñG͹ðn½›d7L½Œ\df#¥¨2³ñ¤#ý¥ÖDïviæ¦ë×De+{<aÿÌ8“Ñ‘â™êh†¡¬ŸfËxŸÉ<J%ÜïziþЈkЉ7Z€f›ð½CF'·	Ë>r2
^3ÃâyÀÉUÆS1ë›~XQ\0
ðµñôDâG¨ñ	Ý,²¨d†tkEò4Šè)l¹ŠV¥Õ?O°bъfC¥üKEr‚ŸEØǐH\K÷¨17×­ëPPBŽ4’¨cxAKÙ»"˜O$«@”Ä_ž}ÕÏY„N®ªegŸ^{ÌxÓZ»põQǧ`ÃaÅ﹑µB1+45KĐÉäÅ
jKR'yµ¼z†§¸±˜¤Dì	u2àlάÀ£ÏòK…õXGì;x¡w¢â|í¾Òáñç!uÙ¢ÑB¥½$¥º–Š
\Ÿ°iéÈð˜$ÏlZ¨V΋áXa™R˜dº<ӓŽ˜Ó÷-M°ösŸ`¸Ó —J¶—go/ûæLÁ©K‰æ–÷
>·2²×Ôñãۅ "{gÿÙg²Ôu׸•ŸÎŽh˜ºÄ±»´müù=ÙÀFWo?>~ñëÞ¾[Dž:[ç`?Ë_^î)Nä>ÞLÓ_Ø:®ûI«Œ
¶kçŸçì/{ßwí«üÂpþ0EÐK%~-Hê8Ûoƒ¸ «Ö/<æU5î|‡t¿þÛß¹3m]3ÿüۃ2Lϸ>’[Bå]·§žéøÄ]6ı—ÔǟNï:¹zö’z»¸[Äs¸Œë\mԂµVíŒ=t<ÈÚn¾‹
I5eÃl2¯ÿQrZ¯7Ë_ÔZÉæHƒÒ?}Ö¨õžÍõšåÔ?֔ҖG©Oài‚yžÓÃߐýÊ»¹š¿-³J =Ž…xŸQ§ƒŒóe’µêíQô?áòd•0žÌ
K)«"ƒ[pFћåðF¼§—+ÈªþdÔÎ<„–7	în|^MåNß1Ï••ìþœªÌþPk¤%k8KÛ{>þüR•kFºj½n®2Ë"Bã|…ßâ¾þ¼P×WŒÑ“«Á>i™gp¡;ׁ¾ÏüÕ
‡ÙevK;ô؎^€–Vîò¬—t¢ŒÚìúvos‡ÒQÚÊ7ãݼ;Z¢QéôЪ°ãÞËmlW‡zïߧE…8Òu˜´ïTŸàq|1É'ûEL]èšà÷‘ÈÛlk–Ñ<Y›>æýMÿãUÓ´Æ$¥~&ãu¼ÏaEãš5ó\ñ]v2°mcª!ªeõ¬°åZщc¤Að¥Þx‹5¤,ÓûˆÏiê‘{zzpԊ²nèkˆ/ÙÒSTå˜Ê †Ä5x̾:ZíMç†5£^Þ®v5“ƒ€µ 0€}²d¬òîm2ÞçGim#€áü+ck…^VLÇ0ŒKð4]2Ð0·^q8s=„³}©<˜(‚‘SÖgrªQló9µþ8zµcE]L×ÖàO0h
Ç¥^Ùto0¯i—åÙÀ›¢ó
°èÊtZÊ|ˆÈNVœwÖ¦(&Û«%aA_$	CÓ4&ø—ïF½"¨²þõv•š©ÅþŠŸ(dùå9㊔Ï(€ù>l§žÅ¦HŒG¯ õŒ·Â2ÿXF›]¸îeúàíûÈsRj¨ú’áiu½šAqš5µú^a5/Ôlš«UÞä–ôòMè`Ì
ëXÑ(i52ƒÆ¦xoµ§é*»UÊK)ápß5`¸eGi:ªPO@§–«HŸŸ—Ô*ʟAגÎÈ­hOý¶ÿ{õ©‰äïÕ緟Ý]˜‹žRœ°í+•jF2xGæè©C\}tÒkœí8)TžS(~¼’êU+)„¾æm†‡¢ëKŠÁB¡4ó"ÛWóñØIM#ªgf®ÃºqkC\¥‡±{qùhj¿xøó?µfP
endstream
endobj

18 0 obj
<<
/Type /Font
/Subtype /Type0
/BaseFont /AAAAAA+CanvaSans-Regular
/Encoding /Identity-H
/DescendantFonts [20 0 R]
/ToUnicode 21 0 R
>>
endobj

... and more...