IRS Tax Return Transcript von IRS Online ([email protected]) bringt eine bösartige Software (‚Emotet‘)!
Am Montag, den 11. Juni 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Die E-Mail stammt nicht von dem darin genannten Absender! Klicken Sie nicht auf den Link und öffnen Sie nicht das Word-Dokument! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert!
Betreff: IRS Tax Return Transcript
Absender: IRS Online ([email protected])Internal Revenue Service
Department of Treasure
1111 Constitution Ave., NW
Washington, DC 20224
Phone 1-800-418-1859Good Afternoon,
Thank you for interest in IRS and we apologize for the delay.
Please get your Tax Return Transcript.Download Your Tax Return Transcript.
The information in this letter is confidential and intended only for the recipient.
If you need assistance, please contact me at 1-864-883-9634.Regards
Rachel Thompson
Inspector
Department of Treasure
Achtung: Es handelt sich um eine betrügerisch E-Mail! Die E-Mail stammt nicht von dem darin genannten Absender! Klicken Sie nicht auf die Links!
Der Link in der E-Mail verweist auf die Adresse
- speedscenewiring.com/IRS-TRANSCRIPTS-8894/
Von der Adresse wird eine Microsoft Word – Dateien geladen:
tax-transcript-089B6772_4.doc
Öffnen Sie nicht die Datei!
Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen:
Office 365
You are attempting to open a file that was created in an earlier version of Microsoft Office.
If the file opens in Protected View, click Enable Editing, and then click Enable Content.
Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.
Das bösartige Makro würde von der Adresse matthewbarley.com/o8LZnI/ eine Datei nachladen und ausführen.
Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: mciwsd
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\mciwsd.exe“
Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 11/68! Führen Sie das Programm daher nicht aus!
Nach der Infektion würde die bösartige Software mit der IP-Adresse 66.115.90.89:995 Kontakt aufnehmen!