Purchase requirement von Edith Vinokurov ([email protected]) bringt ein Trojanisches Pferd (‚Infostealer.Lokibot‘) – Achtung: Die Word-Datei lädt schon bei Öffnen und ohne irgendwelche Nachfragen die bösartige Datei nach!

Am Mittwoch, den 21. Februar 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mails in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von der genannten Firma! Öffnen Sie nicht die Anlage! Durch Fehler in Microsoft Word würde ohne Nachfrage eine bösartige Software nachgeladen und ausgeführt!

Betreff: Purchase requirement
Absender: Edith Vinokurov ([email protected])

Dear Sir,

We are more comfortable as discussed earlier November 2017.

Please quote your best discounted price for the attached urgently. Waiting for your quotation and Pre-qualification as soon as possible.

Thanks for co-operation.

Regards

EDITH VINOKUROV

PROCUREMENT MANAGER

Trabajadora Social – Referente niñez y adolescencia
Grupo de Asistencia Técnica
ICBF Regional Cundinamarca
Edificio World Business Port – cuarto piso
Carrera 69 No. 25B – 44 Ciudad Salitre – Occidente Bogotá D.C.
Teléfono 4377630 Ext. 141003

Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht das beigefügte Word-Dokument!

Exploit.doc

Ironischer Weise lautet der Name der Anlage bereits „Exploit.doc“ und genau darum handelt es sich auch. Durch eine Lücke in Word wird die bösartige Datei sofort ausgeführt und lädt eine weitere betrügerische Datei nach.

Microsoft Word würde nach dem Öffnen nur folgende Meldung bringen:

Zeitgleich wurde aber bereits ein Script extrahiert…

81ROVQ6F23I6HHP.sct

… welches von der Adresse www.synergiecom.fr/wp-includes/js/jquery/og/invoice.exe eine Datei nachlädt und ausführt:

Die Datei wird als „invoice.exe“ gespeichert

invoice.exe

Laut Virustotal wird die Datei erst mit einer Erkennungsrate von 4/68 erkannt. Vom Verzeichnis und Verhalten her müsste es sich um den „Infostealer.Lokibot“ handeln.

In einem weiteren Unterverzeichnis legt er eine Datei an, die laut Virustotal nicht erkannt wird.

F20758.exe

Nach der Infektion versucht er mit der Adresse itnasedhasa.com/rud/fre.php Kontakt aufzunehmen.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert