eFax message from „unknown“ – 6 page(s), Caller-ID: +1 (212) 805 4615 von eFax ([email protected]) bringt eine bösartige Software!
Am Donnerstag, den 25. Januar 2018 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Öffnen Sie nicht die beigefügt Word-Datei! Diese enthält ein Makro, welches eine bösartige Software nachlädt und Ihren Computer infiziert!
Betreff: eFax message from „unknown“ – 6 page(s), Caller-ID: +1 (212) 805 4615
Absender: eFax ([email protected])eFax
Fax Message [Caller-ID: +1 (212) 805 4615]
You have received a 6 page fax at 1/26/2018 6:30:19 AM.
* The reference number for this fax is
scn_did1-12128054615-20180126-877Click the reference number to view this fax.
Please visit www.efax.com/en/online_fax_FAQ if you have any questions regarding this message or your service.
Thank you for using the eFax service!
Home Contact Login
Achtung: Es handelt sich um eine gefälschte Nachricht! Sie haben kein Telefax erhalten! Öffnen Sie daher nicht die Anlage!
Der Link in der E-Mail würde auf die Adresse pinksflorists.co.uk/pdf/eFax_12128057747-20180126-025.zip verweisen, von der ein ZIP-Archiv geladen wird:
eFax_12128057747-20180126-025.zip
Im ZIP-Archiv ist ein JavaScript enthalten:
eFax_12128057747-20180126-025.zip
eFax_12128057747-20180126-025.js
Das JavaScript würde so aussehen:
Achtung: Es handelt sich um eine gefälschte Nachricht! Es handelt sich um kein Telefax! Führen Sie das Script nicht aus!
Zunächst würde eine ausführbare Datei nachgeladen:
Laut Virustotal beträgt die Erkennungsrate 16/65!
Nach der Ausführung würde im Roaming-Verzeichnis ein Unterverzeichnis angelegt, in welches eine ausführbare Datei (.exe) und eine Bibliothek (.dll) gelegt wird. Per Registry wird die Datei bei jedem PC-Start ausgeführt:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: Aslcfttacjfdmmi
Daten: „C:\Users\user\AppData\Roaming\yYRimu\consent.exe“
Die beiden im Roaming-Unterverzeichnis enthaltenen Dateien ändern sich täglich:
25.01.2018
- consent.exe (laut Virustotal beträgt die Erkennungsrate 0/56)
- WINMM.dll (laut Virustotal beträgt die Erkennungsrate 19/65)
26.01.2018
- irftp.exe (laut Virustotal beträgt die Erkennungsrate 0/67)
- MFC42u.dll (laut Virustotal beträgt die Erkennungsrate 21/64)