Scan 27511149471(Vorname Nachname) von [email protected] ([email protected]) oder Rechnung MJB – 921-KD0727 (Vorname Nachname) von [email protected] ([email protected])
Am Donnerstag, den 24. August 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Achtung: Der Link lädt ein Microsoft Word – Dokument, welches per Makro eine bösartige Datei nachlädt. Klicken Sie deswegen nicht auf den Link und geben Sie keine Daten ein!
Betreff: Scan 27511149471(Vorname Nachname)
Absender: [email protected] ([email protected])anbei findest du den Ãœberweisungsbeleg, das Geld sollte also bald bei dir auf dem Konto sein.<br>Ebenfalls anbei der Scan der Vereinbarung.
Scan:
http://nathaninteractive.com/Rechnungs-Details-04680063882/
(Vorname Nachname)Freundliche Grüße
Achtung: Es handelt sich um eine gefälschte E-Mail! Auch der im Absender angezeigte Name bzw. die E-Mail-Adresse wird vorgetäuscht. So steckt hinter der angezeigten Adresse eine ganz andere E-Mail-Adresse! Klicken Sie deswegen nicht auf den Link!
Hier ein weiteres Beispiel einer solchen E-Mail:
Betreff: Rechnung MJB – 921-KD0727 (Vorname Nachname)
Absender: [email protected] ([email protected])Guten Tag, (Vorname Nachname)
Im Anhang dieser E-Mail finden Sie eine .DOC-Datei mit den gewünschten Informationen.
Rechnung:
http://visia.ca/westside/PDF/Rechnung-61342276204/
(Vorname Nachname)Herzliche Grüße
Achtung: Auch hier handelt es sich um eine gefälschte E-Mail! Auch der im Absender angezeigte Name bzw. die E-Mail-Adresse wird vorgetäuscht. So steckt hinter der angezeigten Adresse eine ganz andere E-Mail-Adresse! Klicken Sie deswegen nicht auf den Link!
Ähnliche E-Mails mit dem gleichen Trojaner wurden die letzten Tage bereits in englischer Sprache versendet:
21.08.2017: Invoice # 199425 Problem von MC Technologies ([email protected])
22.08.2017: Invoice Problem von [email protected] ([email protected])
Die Adressen
- nathaninteractive.com/Rechnungs-Details-04680063882/
- visia.ca/westside/PDF/Rechnung-61342276204/
würden ein Microsoft Word – Dokument „Rech-43971370884.doc“ oder „Rech-22270484707.doc“ öffnen:
Das Dokument würde wie folgt aussehen. Öffnen Sie das Dokument aber nicht, da ein bösartiges Makro eine Datei nachlädt!
Office
This document is protected
1 Open the document in Microsoft Office. Previewing online is not available for protected documents.
2 If this document was downloaded from your email, please cklick „Enable Editing“ from the yellow bar above
3 Once you have enabled editing, please click „Enable Content“ from the yellow bar above
Inhaltlich enthält das Dokument nur eine Beschreibung, was man angeblich machen soll, damit man das Dokument angezeigt bekommt. Genau das ist aber der Inhalt. Die Autoren wollen den Anwender damit überzeugen, das im Word – Dokument enthaltene Makro auszuführen. Folgen Sie daher nicht den Anweisungen!
Das Makro würde von der Domain missbonniejane.com/H/ eine Datei nachladen und ausführen.
Virustotal zeigt bereits eine Erkennungsrate von 12/64! Nach der Ausführung nimmt das Programm mit der IP-Adresse 173.212.227.54:443 Kontakt auf.
Außerdem legt es sich in der Registry als angeblicher Windows-Prozess ab, damit es nicht weiter auffällt:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: windowagent
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\windowagent.exe“