‚Rechnung SWFWL – 741-DES7669 (Vorname Nachname)‘ von [email protected] ([email protected]), ‚Rech HUQL – 798-Y9548 CORPORATION‘ von (E-Mail-Adresse) ([email protected]) oder ‚Invoice 491028/OLCB#TYVP/2017 (26 Sep 17) reminder‘ von [email protected] ([email protected]) bringen das Trojanische Pferd ‚Emotet‘
Auch am Dienstag, den 26. September 2017 wurden durch unbekannte Dritte weiterhin die folgende betrügerische E-Mail in deutscher und englischer Sprache versendet. Achtung: Viele der E-Mails sehen so aus, als ob sie von bekannten Personen stammen (z. B. auch aus dem Freundeskreis oder dienstliche Kontakte). Das stimmt aber nicht (diese Angaben sind gefälscht)! Die Links laden über Word-Makros ein Trojanisches Pferd (‚Emotet‘) nach, welches den PC infiziert! Klicken Sie deswegen nicht auf den Link!
Das folgende Beispiel sieht sogar so aus, als ob man sich die E-Mail selbst gesendet hätte (Adresse des angeblichen Absenders und Empfängers sind identisch):
Betreff: Rech HUQL – 798-Y9548 CORPORATION
Absender: (E-Mail-Adresse) ([email protected])Guten Tag, CORPORATION
anbei findest du den Ãœberweisungsbeleg, das Geld sollte also bald bei dir auf dem Konto sein.<br>Ebenfalls anbei der Scan der Vereinbarung.
Rech:
http://greencatdzine.com/Rechnungs-Details-12660021604/
CORPORATIONHerzliche Grüße
(E-Mail-Adresse)
Ein weiterer Inhalt kann z. B. auch folgender sein:
Betreff: Rechnung SWFWL – 741-DES7669 (Vorname Nachname)
Absender: [email protected] ([email protected])siehe Anhang
Rechnung:
http://jbouras.gr/gescanntes-Dokument-16727913589/
(Vorname Nachname)Mit freundlichen Grüßen,
Oder ein Beispiel in englischer Sprache:
Betreff: Invoice 491028/OLCB#TYVP/2017 (26 Sep 17) reminder
Absender: [email protected] ([email protected])Dear (Vorname Nachname),
Invoice from 26 Sep 17. Please let me know if you have any questions. My phone number 01322 894536.
Your Invoice Here:
http://rblakeonline.com/Invoice-Dated-26-Sep-17-731913/VCE-DWRI/2017/Sincerely Yours,
Achtung: Es handelt sich um betrügerische E-Mails! Die E-Mail stammt nicht von dem genannten Absender! Auch wenn Sie den Absender vielleicht kennen, weil es ein Freund / Bekannter oder ein Geschäftskontakt ist, so wurde die E-Mail dennoch nicht von ihm versendet. Klicken Sie nicht auf den Link!
Ähnliche E-Mails wurden sowohl in deutscher, wie auch englischer Sprache bereits seit einer Woche versendet:
- ‚Rechnungs-Details D – 894-ID1534 (Vorname Nachname)‘ von [email protected] ([email protected]) oder ‚Scan 93159445550 (Vorname Nachname)‘ von [email protected] ([email protected]) oder ‚Scan RVHX – 892-MZY7672 (Vorname Nachname)‘ von [email protected]“ (18.09.2017)
- Invoice #73984135 von [email protected] (19.09.2017)
- Invoice due date 22 Sep 17 number 95488767/ATHB#FFEU/2017 von [email protected] (22.09.2017)
- Rechnung 59455455057 (Vorname Nachname) oder gescanntes Dokument MHUNF – 022-EGF4146 (Vorname Nachname) von polnischen E-Mail-Adressen (25.09.2017)
Die Links in den E-Mails verweisen auf die Adressen:
- greencatdzine.com/Rechnungs-Details-12660021604/
- rblakeonline.com/Invoice-Dated-26-Sep-17-731913/VCE-DWRI/2017/
- jbouras.gr/gescanntes-Dokument-16727913589/
In wenigen Fällen ist der Link inzwischen nicht mehr erreichbar (klicken Sie den Link aber dennoch nicht an, da Sie das vorher nicht sehen können!):
Die Seite würde sonst z. B. so aussehen:
Von der Adresse wird eine Microsoft Word – Datei wie z. B.
Invoice due, number 4306_QPW#TWHHD_2017 (26 Sept 17).doc
geladen. Öffnen Sie nicht die Dateien! Die .doc-Dateien enthalten ein bösartiges Makro! Die Microsoft Word – Dateien würden so aussehen:
Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivierenOffice
This document is protected1 Open the document in Microsoft Office. Previewing online is not available for protected documents.
2 If this document was downloaded from your email, please click „Enable Editing“ from the yellow bar above
3 Once you have enabled editing, please click „Enable Content“ from the yellow bar above.
Nach „Bearbeiten aktivieren“ sieht man, dass im Dokument ein Makro enthalten ist:
Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.
Das Makro würde so aussehen:
Das bösartige Makro würde von der Domain medstreaming.com/Zpj/ eine Datei laden (z. B. als 60925.exe lokal abspeichern).
Nach der Ausführung legt sich das Programm in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: windowagent
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\windowagent.exe“
Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 22/61! Führen Sie das Programm daher nicht aus!
Nach der Infektion nimmt das Programm sowohl mit der IP-Adresse 5.45.108.249:8080 Kontakt auf.