You DHL Package Is On The Way! (Fry’s Electronics Inc.) von DHL Express ([email protected]) bringt bösartige Software!
Am Freitag, den 29. September 2017 wurden durch unbekannte Dritte weiterhin die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von DHL! Klicken Sie nicht auf den Link und öffnen Sie nicht das Word-Dokument! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert!
Betreff: You DHL Package Is On The Way! (Fry’s Electronics Inc.)
Absender: DHL Express ([email protected])Your Delivery Is today
Hello (Vorname Nachname),
Estimated delivery data: Fri 29 Sep 2017.
This e-mail was sent at the request of Fry’s Electronics Inc. to notify that the parcel information below has been transmitted to DHL.
To verify the status of your DHL shipment, please click here.
Thank you for using DHL.
Achtung: Es handelt sich um eine betrügerisch E-Mail! Die E-Mail stammt nicht von DHL! Klicken Sie nicht auf den Link!
Im Gegensatz zu früheren E-Mails kommt diese betrügerische Nachricht zusätzlich mit einem Adobe Acrobat Reader – Dokument („DHL, number 85534_ADT#FZL (29 Sep 17).pdf“):
Estimated delivery data: Fri 29 Sep 2017.
This message was sent at the request of FRY’S
ELECTRONICS INC. to notify that the shipment details
provided below has been transmitted to DHL.Please check your shipment and contact details
below. If you need to make a change or track your
shipment, click here.Thank you for using DHL.
Klicken Sie weder in der E-Mail, noch im PDF-Dokument auf den Link!
Der Link in der E-Mail verweist auf die Adresse:
- pyykola.net/DHL-29-Sep-17-06599526/JQ-YJHA/
Von der Adresse wird eine Microsoft Word – Datei wie z. B. „#2223408_AOF#EGMD (30 Sep 17).doc“ geladen. Öffnen Sie nicht die Dateien! Die .doc-Dateien enthalten ein bösartiges Makro! Die Microsoft Word – Dateien würden so aussehen:
Geschützte Ansicht
Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen.
Bearbeitung aktivierenOffice
This document is protected1 Open the document in Microsoft Office. Previewing online is not available for protected documents.
2 If this document was downloaded from your email, please click „Enable Editing“ from the yellow bar above
3 Once you have enabled editing, please click „Enable Content“ from the yellow bar above.
Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.
Im .doc-Dokument ist ein bösartiges Makro enthalten:
Das bösartige Makro würde von der Domain pumpa.com.au/qgI/ eine Datei laden. Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 20/64! Führen Sie das Programm daher nicht aus!
Nach der Ausführung legt sich das Programm in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: windowagent
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\windowagent.exe“
Nach der Infektion nimmt das Programm mit der IP-Adresse 37.187.57.57:443 Kontakt auf.