NEW ORDER (2/20/18) von Carmen Aaron ([email protected]) bringt eine bösartige Software!
Am Dienstag, den 20. Februar 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mails in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von der genannten Firma! Öffnen Sie nicht die Anlage! Ein Makro innerhalb des Word-Dokument würde eine bösartige Software nachladen und ausführen!
Betreff: NEW ORDER (2/20/18)
Absender: Carmen Aaron ([email protected])I am re-sending our order again, not sure you received our first inquiry email. Requesting you to send your best competitive prices, we have waited endlessly for your email and decided to resend you an email for confirmation.
Please find attached & do let us have your quotations because we will like to place our order by
2/23/2018.REGARDS,
Carmen Aaron
Sales/Purchase Department
Email: [email protected]
[email protected]
Website: www.cvjamaica.com
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht das beigefügte Word-Dokument!
ORDER.doc
Die Microsoft Word – Datei würde nach dem Öffnen wie folgt aussehen:
This Document Is Protected!
1 If this document downloaded from internet , please click „Enable editing“ from the yellow bar above.
2 Once you have enabled editing , please click „Enable content“ on the yellow bar above.
Das stimmt nicht! Es handelt sich nicht um eine geschützte Datei! Vielmehr sollen Sie dazu bewegt werden, das bösartige Makro auszuführen.
Von der Adresse rossichspb.ru/z/st.exe würde eine Datei nachgeladen (zunächst als „name.exe“ und ausführt:
servhost.exe
Laut Virustotal wird die Datei erst mit einer Erkennungsrate von 8/67 erkannt.
Die bösartige Datei sorgt per Registry dafür, dass sie mit jedem PC-Start ausgeführt wird:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: servhost
Daten: C:\Users\user\AppData\Roaming\Microsoft\Windows\dwidesk\servhost.exe
Neben dieser Datei wird auch noch eine andere Datei geladen / erzeugt. Diese wird laut Virustotal nicht erkannt:
640.121926786378