Ihr DHL Paket kommt am Mittwoch, 14:00-19:00 Uhr. von Kundenservice DHL Express ([email protected])

Am Mittwoch, den 05. April 2017 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet. Achtung: Der Link führt nicht zu DHL, sondern lädt von einer anderen Domain ein JavaScript, welches ein Trojanisches Pferd (bösartige Software) nachlädt. Klicken Sie deswegen nicht auf den Link und speichern Sie das geladene Dokument nicht ab bzw. führen Sie es nicht aus!

Betreff: Ihr DHL Paket kommt am Mittwoch, 14:00-19:00 Uhr.
Absender: Kundenservice DHL Express([email protected])

Hallo lieber Kunde,
der Zustelltermin für Ihr Paket hat sich auf Mittwoch, 14:00-19:00 Uhr geändert.
http://nolb.dhl.de/set_identcodes.do?time=114901&email=(E-Mail-Adresse). (JavaScript Report)

Bitte beachten Sie, dass eine hundertprozentige Aktualität des Sendungsinformationssystems nicht gewährleistet werden kann.

ALLE INFORMATIONEN AUF EINEN BLICK:

Paket von:
Sendungsnummer 925262166995

Voraussichtliches Zustelldatum:
Mittwoch, 05. April
14:00-19:00 Uhr

Zustellort:
Ihre gewünschte Lieferadresse

[RYMM:86P3096DCWOM045]

Achtung: Es handelt sich um eine gefälschte / betrügerische E-Mail! Die Nachricht stammt nicht von DHL! Das Unternehmen hat mit der E-Mail nichts zu tun! Klicken Sie deswegen nicht auf den Link!

Der in der E-Mail sichtbare Link, der angeblich auch die eigene E-Mail-Adresse enthält, führt in Wirklichkeit zu der Adresse conquist.net.br/QP4091xqGn, welches keine DHL-Seite ist. Der Link hinter der angeblichen Paketnummer führt ebenfalls zu dieser abweichenden Seite. Bei vielen E-Mail-Programmen sehen Sie den echten Link in einer Fußzeile, wenn Sie die Maus über den Link bewegen (ohne den Link anzuklicken, denn sonst könnte es bereits zu spät sein). Klicken Sie keine Links an, wenn Sie sich unsicher sind. Ungewöhnlich für eine DHL-Benachrichtigung sind die falsch dargestellten Sonderzeichen in der E-Mail.

Nach einem Klick auf den Link würde der Browser fragen, ob die geladene Datei ausgeführt oder gespeichert werden soll. Brechen Sie den Vorgang ab!

Öffnen von DHL_Report_1452153585_Mi_April_05_2017.js

Sie möchten folgende Datei öffnen:

DHL_Report_1452153585_Mi_April_05_2017.js

Vom Typ: JavaSCript File (2,0 KB)

Von: http://conquist.net.br

Das von der Domain geladene JavaScript würde wie folgt aussehen:

Wie man etwas verschleiert sehen kann, soll von verschiedenen Domains eine Datei nachgeladen werden, hier z. B. von danirvinphotography.com/download0303/.

Die Datei würde auf dem Computer unterschiedliche Namen bekommen. Das Programm-Symbol würde so aussehen:

Laut Virustotal liegt die Erkennungsrate für die „EchoHeaders.exe“ bei 26/61. Nach der Ausführung würde das Programm mit diversen IP-Adressen wie z. B. 87.106.105.76:443 oder 67.205.128.122:443 Kontakt aufnehmen. Daten werden dabei über ein angebliches Cookie an die IP-Adresse gesendet.05

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.