New invoice #00878126/IMW#DVNZY/2017 von [email protected] ([email protected]) bringt bösartige Software!

Am Donnerstag, den 28. September 2017 wurden durch unbekannte Dritte weiterhin die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht vom genannten Absender! Klicken Sie nicht auf den Link und öffnen Sie nicht das Word-Dokument! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! 

Betreff: New invoice #00878126/IMW#DVNZY/2017
Absender: [email protected] ([email protected])

Greetings (Vorname Nachname),

We still have not received full payment from you,invoice dated 28 Sep 17 Please feel free to give me a phone call at 01322 612700.

View And Pay Here:
http://racingzone.es/New-invoice-76941/JGQ-XYJPP-28-Sep-17/

Best Wishes,

[email protected]

Achtung: Es handelt sich um eine betrügerisch E-Mail! Die E-Mail stammt nicht von dem genannten Absender! Klicken Sie nicht auf den Link!

Im Gegensatz zu früheren E-Mails kommt diese betrügerische Nachricht zusätzlich mit einem Adobe Acrobat Reader – Dokument (Invoice #00878126_IMW#DVNZY_2017 (28 Sep 17).pdf):

We still have not received full payment from you,invoice dated 28 Sep 17.
Please feel free to give me a phone call at 01322 612700.

See Invoice Here:
http://racingzone.es/New-invoice-76941/JGQ-XYJPP-28-Sep-17/

Klicken Sie weder in der E-Mail, noch im PDF-Dokument auf den Link!

Der Link in der E-Mail verweist auf die Adresse:

  • racingzone.es/New-invoice-76941/JGQ-XYJPP-28-Sep-17/

 

Von der Adresse wird eine Microsoft Word – Datei wie z. B. „New invoice #485085430_XGUE#OOVXD_2017 (29 Sept 17).doc“ geladen. Öffnen Sie nicht die Dateien! Die .doc-Dateien enthalten ein bösartiges Makro! Die Microsoft Word – Dateien würden so aussehen:

Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivieren

Office
This document is protected

1 Open the document in Microsoft Office. Previewing online is not available for protected documents.
2 If this document was downloaded from your email, please click „Enable Editing“ from the yellow bar above
3 Once you have enabled editing, please click „Enable Content“ from the yellow bar above.

Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.

Im .doc-Dokument ist ein bösartiges Makro enthalten:

Das bösartige Makro würde von der Domain pingstate.com/B/ eine Datei laden. Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 21/65! Führen Sie das Programm daher nicht aus!

Nach der Ausführung legt sich das Programm in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: windowagent
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\windowagent.exe“

Nach der Infektion nimmt das Programm mit der IP-Adresse 74.50.52.130:8080 Kontakt auf.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert