Auftrag Nr. 948160436, angeblich vom Versandteam einer Goertz GmbH ([email protected])

Kommentar hinterlassen

Am Samstag, den 27. August 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:

20160827_auftrag_nr_948160436

Ihre Kundennummer: 3510468
Auftragsnummer: 948160436
Auftragssumme: 92 Eur

Liebe Kundin, Lieber Kunde,

Danke für Ihre Bestellung!

Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).

Mit freundlichen Grüßen

Ihr Versandteam
Goertz GmbH

Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader.

Die E-Mail mit dem Betreff „Auftrag Nr. 948160436“ kommt angeblich von „Goertz ([email protected])“ bzw. dem Versandteam einer Goertz GmbH. Angeblich soll sich ein PDF-Dokument mit weiteren Informationen zu einer Bestellung in der E-Mail befinden. Die E-Mail ist aber gefälscht! Sie haben nichts bei einer Goertz GmbH bestellt, die E-Mail soll Sie nur zum Öffnen der Anlage animieren! Öffnen Sie nicht die Datei!

Der Dateiname „dokument_id1784782358“ zeigt aber, dass es sich um ein .zip – Archiv handelt. Darin enthalten ist ein Script mit dem Namen „dokument_id1784782358.pdf                                             .vbe“. Der Dateiname soll so aussehen, als ob es sich um ein .pdf – Dokument handelt. Das stimmt aber nicht! Nach dem „.pdf“ kommen noch ganz viele Leerzeichen und erst dann die echte Dateiendung „.vbe“.

Klicken Sie nicht auf die Anlage! Öffnen Sie nicht die Datei und führen Sie nicht das Script im ZIP-Archiv aus!

Dieses Script würde u. a. die folgenden Dateien laden und zur Ausführung bringen:

  • hitecno.com.ar/js/file.exe
  • koroleff.org/modules/mod_janewsflash/77.exe
  • 108.61.99.79/module/272a5ad4a1b97a2ac874d6d3e5fff01d
  • 108.61.99.79/module/a104f2955999a2f1a1c881e8930b82f6
  • 108.61.99.79/module/96df1c84c7fb13e880e399f9627e0db0
  • 108.61.99.79/module/d1967c99c0c7f9b468f2e08e59e41ffe
  • 108.61.99.79/module/311ac29c5a8f6b4e7a247db98207fd6e

Relativ direkt nach der Ausführung der Dateien werden verschiedene Internetseiten um bösartige Inhalte ergänzt, so auch beim Online-Banking. Es kann also nicht ausgeschlossen werden, dass beim Online-Banking unter einem Vorwand zur TAN-Eingabe aufgefordert wird.

Virustotal zeigt für die „file.exe“ eine Erkennungsrate von 39/57. Für eine weitere Datei, vermutlich die 77.exe, zeigt Virustotal eine Erkennungsrate von 32/57.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert