Amazon Bestellung von Amazon.de ([email protected]) bringt Online-Banking-Trojaner!
Am Sonntag, den 08. Oktober 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Öffnen Sie nicht die Anlage! Das .zip-Archiv enthält ein Programm, welches Trojanische Pferde nach lädt, die im Online-Banking unter dem Vorwand einer Fehlgutschrift des Finanzamtes Geld klauen wollen!
Betreff: Amazon Bestellung
Absender: Amazon.de ([email protected])Sehr geehrter Kunde,
vielen Dank für Ihre Bestellung. Sie finden weitere Informationen in der Rechnung im Anhang. Wir werden Sie benachrichtigen, sobald Ihr(e) Artikel versandt wurde(n).
Wir freuen uns auf Ihren nächsten Besuch.
Achtung: Es handelt sich um eine gefälschte Nachricht! Die Nachricht stammt nicht von Amazon! Klicken Sie daher nicht auf die Anlage zur E-Mail! In der Anlage ist eine bösartige Software enthalten!
Der betrügerischen E-Mail ist eine Anlage „Amazon 05.10.2017.zip“ beigefügt (laut Virustotal liegt die Erkennungsrate für das .zip-Archiv bei 16/62). Führen Sie die Datei nicht aus! Darin enthalten ist zunächst ein weiteres ZIP-Archiv „Amazon 05.10.2017.zip“, welches eine ausführbare Datei „05.10.2017 Amazon.com“ enthält (laut Virustotal liegt die Erkennungsrate für die .com-Datei bei 22/65).
Nach der Ausführung der .com-Datei würde folgende Meldung erscheinen:
Adobe PDF Document
There is a problem with Adobe Acrobat/Reader. If it is running, please exit an try again. (0:104)
Der PC wurde aber in dem Moment infiziert. Danach beginnt das Trojanische Pferd, weitere Dateien nachzuladen. Hier ein paar Beispiele:
anion-10/anion-49.exe (Erkennungsrate laut Virustotal bei 13/65)
lvpecl-83/lvpecl-84.exe (Erkennungsrate laut Virustotal bei 21/65)
gaasfet-17/gaasfet-99.exe (Erkennungsrate laut Virustotal bei 8/65)
Bisher wurde der Trojaner mit unterschiedlichen gefälschten Absender-Angaben verteilt. Der Inhalt der bisherigen E-Mails war aber anders. Ob die Täter nun generell auf diesen neuen E-Mail-Inhalt gewechselt sind, lässt sich noch nicht sagen.
In der Warnung „Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden von Stellvertretender Sachbearbeiter GiroPay AG ([email protected])“ vom 01.08.2017 sehen Sie, wie das Trojanische Pferd unter dem Vorwand einer angeblichen Fehlgutschrift des Finanzamtes im Online-Banking Geld klauen will.
