gescanntes Dokument XY – 882-SHN4832 von [email protected] ([email protected]), Rechnung AITZ – 728-PIN9547 von Honey ([email protected]) oder Scan 60717733075 von [email protected] ([email protected]) bringen das Trojanische Pferd ‚Emotet‘

Am Dienstag, den 28. November 2017 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in deutscher Sprache versendet. Achtung: Die E-Mails stammen nicht von den genannten Absendern! Klicken Sie nicht auf die Links und öffnen Sie nicht das Word-Dokument! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! 

Betreff: gescanntes Dokument XY – 882-SHN4832
Absender: [email protected] ([email protected])

die Kontentrennung sowie die Änderung der Rechnungsanschrift und des SEPA Mandats habe ich wie gewünscht zu sofort durchgeführt.

http://www.monteirolobato.net/dokumente-2557082834/

Herzliche Grüße

[email protected]

Achtung: Es handelt sich um eine betrügerische E-Mail! Klicken Sie nicht auf den Link! 

Hier ein weiteres Beispiel:

Betreff: Rechnung AITZ – 728-PIN9547
Absender: Honey ([email protected])

siehe Anhang

http://www.monteirolobato.net/dokumente-2557082834/

Freundliche Grüße
Honey

Und noch ein Beispiel:

Betreff: Scan 60717733075
Absender: [email protected] ([email protected])

im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.

http://www.silvialamagra.it/Rechnungs-Details-178674430372/

Herzliche Grüße

[email protected]

Die Links in den E-Mails verweisen auf die Adressen

  • www.monteirolobato.net/dokumente-2557082834/
  • www.silvialamagra.it/Rechnungs-Details-178674430372/

Von der Adresse wird eine Microsoft Word – Datei geladen:

scan # 7518719918.doc

 

Öffnen Sie nicht die Datei!

Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen:

Office

This document is protected

1 If the file opens in Protected View, click Enable Editing, and then click Enable Content.
2 You are attempting to open a file that was created in an earlier version of Microsoft Office.
3 Check the file permissions for the document or drive.

Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.

 

Das bösartige Makro würde von der Domain prikolsamara.ru/GvlXccvG/ eine Datei laden.

Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: windowagent
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\windowagent.exe“

Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 15/67! Führen Sie das Programm daher nicht aus!

Nach der Infektion nimmt das Programm sowohl mit der IP-Adresse

  • 173.201.20.6:7080

Kontakt auf.

Kommentar(e)

2 Kommentare

  • Hallo,

    was wenn der Link betätigt wurde, aber kein Dokument geöffnet wurde (Word, o.ä.?)

    Der Link lautete http://www.monteirolobato.net/dokumente-2557082834/

    Kann ich mein System irgendwie überprüfen? Win 10

    Viele Grüße und vielen Dank

    • Sebastian Brück

      Hallo,

      wenn Du den Link angeklickt hast, aber kein Word-Dokument geladen wurde, dann ist nichts passiert. Dieser Trojaner wird über ein Word-Makro nachgeladen.

      Die Provider der missbrauchten Domains sperren die betrügerischen Seiten so schnell wie möglich. Daher ist bei Dir vermutlich schon eine Fehlermeldung erschienen, dass die Seite nicht vorhanden ist.

      Viele Grüße,

      Sebastian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.