Rechnung #021114763, Bezahlen Sie die Rechnung 7524893249 oder Unsere Rechnung vom 05 Juni 12319869304782 laden über ein Word-Dokument eine bösartige Software nach (‚Emotet‘)!

Am Dienstag, den 05. Juni 2018 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in deutscher Sprache versendet. Achtung: Die E-Mail stammen nicht von den darin genannten Absendern! Klicken Sie nicht auf die Links und öffnen Sie nicht die Word-Dokumente! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! 

Betreff: Rechnung #021114763
Absender: Dr. Z Zahnmedizinisches Zentrum Augsburg ([email protected])

Guten Morgen,

bezugnehmend auf unsere Telefonate vom 1. und 05. Juni möchten wir uns nach dem Stand unserer Rechnung erkundigen. Falls der Betrag noch nicht angewiesen wurde, bitten wir um Überweisung auf unser Konto bei der Bank.

http://ralfkisch.de/FORM/Rech/

Mit besten Grüßen
Dr. Z Zahnmedizinisches Zentrum Augsburg

Hier weitere Beispiele:

Betreff: Bezahlen Sie die Rechnung 7524893249
Absender: VM2217 Häusgen Klaus (E-Mail) ([email protected])

Guten Tag,

in der Anlage sende ich Ihnen den unterzeichneten Vertrag.Die Rechnung wird zur Zahlung vorbereitet und ist unter dem folgenden Link verfügbar.

>>> http://pulse.bg/FORM/Hilfestellung-zu-Ihrer-Rechnung-065-6822/

Mit den besten Grüßen
VM2217 Häusgen Klaus (E-Mail)

Betreff: Bezahlen Sie die Rechnung 84201139483
Absender: Potenzpillen ([email protected])

Guten Abend,

bitte Anhang beachten. Danke.

>>> http://sentieriselvaggi.org/RECHNUNG/Ihre-Rechnung-0435-178/

Wir freuen uns auf die weitere Zusammenarbeit!
Potenzpillen

Betreff: Unsere Rechnung vom 05 Juni 12319869304782
Absender: Musikschule Pößneck ([email protected])

Guten Abend,

in der Anlage erhalten Sie das Vendor-Form zur zügigen Bearbeitung zurück!

>>> http://nieling.info/Rechnungsanschrift/Zahlung-bequem-per-Rechnung/

Musikschule Pößneck

Betreff: Rechnung 5025313060483
Absender: Hermann Baars ([email protected])

Guten Tag,

in der vorbezeichneten Angelegenheit übersenden wir Ihnen in der Anlage die Gerichtskostenrechnung für die Fortsetzung des gerichtlichen Verfahrens. Da die Gerichtskosten aus steuerlichen Gründen nicht mehr durch unsere Kanzlei angewiesen bzw. verauslagt werden können, bitten wir um direkte Anweisung des Betrages an die Gerichtskasse. Bitte geben Sie bei der Überweisung zwingend den Verwendungszweck an, um Verzögerungen bei Gericht zu vermeiden vgl. beiliegenden Überweisungsträger . Wir weisen darauf hin, dass eine Fortsetzung des Verfahrens durch das Gericht erst nach Eingang der Gerichtskosten erfolgt.

>>> http://johnsonlam.com/RECH/Rechnung-0997-761/

Viele Grüße
Hermann Baars

Betreff: Bezahlen Sie die Rechnung 42299699988
Absender: Stefan Drieling Heizungsbau ([email protected])

die Kontentrennung sowie die Änderung der Rechnungsanschrift und des SEPA Mandats habe ich wie gewünscht zu sofort durchgeführt.

>>> http://zafado.com/aspnet_client/RECHNUNG/Rechnungszahlung/

Herzliche Grüße,
Stefan Drieling Heizungsbau

Achtung: Es handelt sich um betrügerische E-Mails! Die E-Mails stammen nicht von den darin genannten Absendern! Klicken Sie nicht auf die Links! 

Die Links in den E-Mails verweisen auf die Adressen

  • baute.org/DOC/Unsere-Rechnung-vom-05-Juni-03233/
  • zafado.com/aspnet_client/RECHNUNG/Rechnungszahlung/
  • johnsonlam.com/RECH/Rechnung-0997-761/
  • nieling.info/Rechnungsanschrift/Zahlung-bequem-per-Rechnung/
  • sentieriselvaggi.org/RECHNUNG/Ihre-Rechnung-0435-178/
  • pulse.bg/FORM/Hilfestellung-zu-Ihrer-Rechnung-065-6822/
  • ralfkisch.de/FORM/Rech/

Von den Adressen werden Microsoft Word – Dateien geladen:

 

RECH233205642897.doc
RECH30068913.doc
RECH2247743384.doc
RECH9563594340288.doc
RECH06933998.doc
RECH4431405157.doc
RECH8980600037.doc

Öffnen Sie nicht die Dateien! 

 

Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen:

Office 365

You are attempting to open a file that was created in an earlier version of Microsoft Office.

If the file opens in Protected View, click Enable Editing, and then click Enable Content.

Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.

Das bösartige Makro würde eine Datei nachladen und ausführen.

Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: mciwsd
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\mciwsd.exe“

Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 20/68! Führen Sie das Programm daher nicht aus!

Nach der Infektion würde die bösartige Software mit der IP-Adresse 217.160.20.223:443 Kontakt aufnehmen!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert