Message from KM_C224e von copier@Domain
Am Freitag, den 02. Juni 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Die Anlage lädt eine bösartige Software nach (vermutlich Trojanisches Pferd „Dridex“)! Öffnen Sie daher nicht die Anlage!
Betreff: Message from KM_C224e
Absender: copier@Domain
Die E-Mail kommt von der Adresse copier@Empfängerdomain und gaukelt vor, eine Nachricht sei als Anlage beigefügt. In der Anlage ist ein Adobe Acrobat Reader – Dokument mit unterschiedlichen Namen beigefügt (Beispiele):
- SKM_C224e11444317713.pdf
- SKM_C224e28409387046.pdf
Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie daher nicht auf die Anlage und öffnen Sie diese nicht!
Beim Öffnen der Datei würde der Acrobat Reader eine Sicherheitsabfrage stellen:
Please open attached 704HNRXGEELT543.docm file
Datei öffnen
Die Datei „JMRRBEYNF.docm“ enthält eventuell Programme, Makros oder Viren, die Ihren Computer beschädigen können. Öffnen Sie die Datei nur, wenn Sie davon ausgehen können, dass sie in Ordnung ist. Wie möchten Sie vorgehen?
[x] Diese Datei öffnen
[ ] Öffnen von Dateien dieses Typs immer zulassen
[ ] Öffnen von Dateien dieses Typs niemals zulassen
Würden Sie die Frage bestätigen, dann öffnet sich folgende Darstellung in Microsoft Word:
Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivieren
Klicken Sie nicht auf „Bearbeitung aktivieren“! Danach würde folgende Sicherheitsabfrage erscheinen:
Sicherheitswarnung
Makros wurden deaktiviert
Inhalt aktivierenThis Document is protected!
1 Open the document in Microsoft Office. Previewing offline is not available for protected documents.
2 If this document was downloaded from your email, please click „Enable editing“ from the yellow bar above.
3 One you have enabled editing, please click „Enable content“ on the yellow bar above.
Ein Makro würde die Datei eselink.com.my/hH60bd herunterladen. Im Gegensatz zu früheren E-Mails, die den Verschlüsselungs- und Erpressungstrojaner „Jaff“ (Ransomware) verteilt haben, wird mit dieser E-Mail das Trojanisches Pferd „Dridex“ verteilt. Virustotal zeigt inzwischen eine Erkennungsrate von 4/56.
Achtung: Es ist nicht auszuschließen, dass über solche Links sowohl die Ransomware „Jaff“ wie auch das Trojanische Pferd „Dridex“ verteilt wird. Optisch gesehen kommt „Jaff“ heute mit vergleichbaren Erpressungsseiten wie zuletzt bei der Ransomware „Locky“ gesehen. In 2016 haben betrügerische E-Mails bereits zeitgleich die Ransomware „Locky“ und das Trojanische Pferd „Dridex“ verteilt (beide Trojaner kamen damals über den gleichen Link, je nach dem, wann man den Link aufgerufen hat). „Dridex“ kann auch Online-Banking-Betrug durchführen. Aufgrund der englischen E-Mail ist davon auszugehen, dass er es auf amerikanische Banken abgesehen hat. Entweder stecken hinter beiden Programmen die gleichen Betrüger oder diese nutzen zumindest den gleichen Dienstleister zur Verteilung der bösartigen Software.