eFax message from „unknown“ – 6 page(s), Caller-ID: +1 (212) 805 4615 von eFax ([email protected]) bringt eine bösartige Software!

Am Donnerstag, den 25. Januar 2018 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Öffnen Sie nicht die beigefügt Word-Datei! Diese enthält ein Makro, welches eine bösartige Software nachlädt und Ihren Computer infiziert!

Betreff: eFax message from „unknown“ – 6 page(s), Caller-ID: +1 (212) 805 4615
Absender: eFax ([email protected])

eFax

Fax Message [Caller-ID: +1 (212) 805 4615]

You have received a 6 page fax at 1/26/2018 6:30:19 AM.

* The reference number for this fax is
scn_did1-12128054615-20180126-877

Click the reference number to view this fax.

Please visit www.efax.com/en/online_fax_FAQ if you have any questions regarding this message or your service.

Thank you for using the eFax service!
Home Contact Login

Achtung: Es handelt sich um eine gefälschte Nachricht! Sie haben kein Telefax erhalten! Öffnen Sie daher nicht die Anlage!

Der Link in der E-Mail würde auf die Adresse pinksflorists.co.uk/pdf/eFax_12128057747-20180126-025.zip verweisen, von der ein ZIP-Archiv geladen wird:

eFax_12128057747-20180126-025.zip

Im ZIP-Archiv ist ein JavaScript enthalten:

eFax_12128057747-20180126-025.zip

eFax_12128057747-20180126-025.js

Das JavaScript würde so aussehen:

Achtung: Es handelt sich um eine gefälschte Nachricht! Es handelt sich um kein Telefax! Führen Sie das Script nicht aus!

Zunächst würde eine ausführbare Datei nachgeladen:

Laut Virustotal beträgt die Erkennungsrate 16/65!

Nach der Ausführung würde im Roaming-Verzeichnis ein Unterverzeichnis angelegt, in welches eine ausführbare Datei (.exe) und eine Bibliothek (.dll) gelegt wird. Per Registry wird die Datei bei jedem PC-Start ausgeführt:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: Aslcfttacjfdmmi
Daten: „C:\Users\user\AppData\Roaming\yYRimu\consent.exe“

Die beiden im Roaming-Unterverzeichnis enthaltenen Dateien ändern sich täglich:

25.01.2018

 

26.01.2018

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert