Bezahlen Sie die Rechnung vom Juni 090242, Hilfestellung zu Ihrer Rechnung, Ihre Rechnung, Ihre Rechnung vom 18/06/2018 01266, in Rechnung gestellt, Rechnung, Rechnung 19814575, Rechnung scan, Rechnung vom 18 Juni, Zahlung bequem per Rechnung vom 18/06/2018 oder Zahlungserinnerung bringt über eine Word-Datei die bösartige Software ‚Emotet‘!
Am Montag, den 18. Juni 2018 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in deutscher Sprache versendet. Achtung: Die E-Mails stammen nicht von den darin genannten Absendern! Klicken Sie nicht auf die Links und öffnen Sie nicht die Microsoft Word-Dokumente! Ein Makro in den Word-Dokumenten lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert!
Betreff: Rechnung
Absender: Klause am See ([email protected])Hallo,
Hier haben wir Ihre Rechnungsdaten zusammengefasst:Kundennummer:9915053Rechnungsnummer:Rechnungsendbetrag: EUR 461,31Bitte überweisen Sie den Betrag unter Angabe des Verwendungszwecks:9915053Anbei die erforderlichen Daten im Anhang als DOC-Datei Sie können das Dokument ohne Bedenken öffnen und wenn Sie möchten jederzeit ausdrucken.
>>> http://tech4bargain.com/Rechnungs-scan/
Mit besten Grüßen
Klause am See
Achtung: Es handelt sich um eine betrügerisch E-Mail! Die E-Mail stammt nicht von dem darin genannten Absender! Öffnen Sie nicht das Word-Dokument!
Neben dem o. g. Beispiel werden auch die folgenden E-Mails versendet:
Betreff: Rechnung
Absender: Müschenborn, Klaus ([email protected])Guten Abend,
in der Anlage erhalten Sie das Vendor-Form zur zügigen Bearbeitung zurück!
>>> http://www.madgroup.pk/RECHs/
Viele Grüße
Müschenborn, Klaus
Betreff: Rechnung vom 18 Juni
Absender: Dieter Baral ([email protected])Guten Morgen,
in der Anlage schicke ich Ihnen noch mal unsere Abschlagsrechnung. Leider konnten wir hierzu noch keinen Zahlungseingang verbuchen.Wir möchten Sie bitten, diese Rechnung zu begleichen.
>>> http://dekormc.pl/js/Fakturierung/
Dieter Baral
Betreff: in Rechnung gestellt
Absender: Paul Rennert ([email protected])Guten Morgen,
bezugnehmend auf unsere Telefonate vom 10. und 15. Mai möchten wir uns nach dem Stand unserer Rechnung erkundigen. Falls der Betrag noch nicht angewiesen wurde, bitten wir um Überweisung auf unser Konto bei der Bank.
>>> http://122.155.197.12/www/Rechnungs-Details/
Wir bedanken uns für Ihr Vertrauen und wünschen Ihnen weiterhin viel Erfolg.
Paul Rennert
Betreff: Hilfestellung zu Ihrer Rechnung
Absender: Prof. Rüdiger Althaus (Theol. Fak. PB) ([email protected])Guten Tag,
anbei die Rechnung von den Zimmerer und Dachdeckerarbeiten.
>>> http://www.japanese-skypelesson.com/Rechnungs/
Viele Grüße
Prof. Rüdiger Althaus (Theol. Fak. PB)
Betreff: Rechnung scan
Absender: IBP Ingenieurbüro (1&1) ([email protected])Guten Tag,
Bestätigen Sie den Zahlungseingang
>> http://www.payerlawgroup.com/Rechs/
Viele Grüße
IBP Ingenieurbüro (1&1)
Betreff: Bezahlen Sie die Rechnung vom Juni 090242
Absender: Martin Dittloff ([email protected])Guten Tag,
heute erhalten Sie Ihre Rechnung. Sie finden es unter dem Link am Ende dieser E-Mail als DOC-Datei.
>>> http://www.greenspider.com.my/wp-content/woo_custom/Rechs/
Martin Dittloff
Betreff: Rechnung 19814575
Absender: Herr Wirkotsch WIKO-Dach ([email protected])im Anhang dieser E-Mail erhalten Sie Informationen zu Ihrem Vertrag.
>>> http://iclub8.hk/FORM/Rechnung-fur-Dienstleistungen-0757389/
Mit freundlichen Grüße
Herr Wirkotsch WIKO-Dach
Betreff: Zahlung bequem per Rechnung vom 18/06/2018
Absender: Christian Ackermann ([email protected])Hallo,
tschrifteinzug ist leider fehlgeschlagen.Anhängend senden wir Ihnen ein im DOC-Format erstelltes Dokument, mit der Bitte, die dort aufgeführten und offenstehenden Forderungen auszugleichen.
>>> http://xn--c1apcibmcl.xn--p1ai/Rechnungsanschrift-korrigiert/
Freundliche Grüße
Christian Ackermann
Betreff: Ihre Rechnung vom 18/06/2018 01266
Absender: Alfio Mancuso ([email protected])Hallo,
besten Dank für Ihre Nachricht. Leider hat uns bisher noch keine Zahlung erreicht. Sie verstehen sicherlich, dass ich Sie heute nochmals höflichst darum bitte.Es wäre sehr nett wenn Sie dies bis morgen. Die Rechnung ist unter dem folgenden Link verfügbar.
>>> http://scotned.com/Rechnungsanschrift-korrigiert/
Herzliche Grüße,
Alfio Mancuso
Betreff: Zahlungserinnerung
Absender: O2 – payment ([email protected])Guten Tag,
tschrifteinzug ist leider fehlgeschlagen.Anhängend senden wir Ihnen ein im DOC-Format erstelltes Dokument, mit der Bitte, die dort aufgeführten und offenstehenden Forderungen auszugleichen.
>>> http://triround.com/RECHs/
Mit den besten Grüßen
O2 – payment
Betreff: Ihre Rechnung
Absender: Architekturbüro Naumann ([email protected])Guten Tag,
Bestätigen Sie den Zahlungseingang
>>> http://www.campusbowling.com.tr/Rechnungszahlung/
Mit besten Grüßen
Architekturbüro Naumann
Betreff: Rechnung
Absender: Bavaria Kompressortechnik GmbH ([email protected])Hallo,
Die letzte fällige Rechnung für dein. Die Kosten hierfür betragen 415,35 €, netto sind das 428,54 €. Von weiteren fälligen Rechnungen weiß ich nichts. Sollen das Rechnungen für Warenlieferungen sein?
>>> http://www.marocampus.ma/Rechnungs/
Herzliche Grüße,
Bavaria Kompressortechnik GmbH
Betreff: Rechnung
Absender: Klause am See ([email protected])Hallo,
heute erhalten Sie Ihre Rechnung. Sie finden es unter dem Link am Ende dieser E-Mail als DOC-Datei.
>>> http://www.ketoanbaotin.com/Rechnungszahlung/
Freundliche Grüße
Klause am See
Betreff: Rechnung
Absender: Offenburg1 – FIRST REISEBUERO ([email protected])Hallo,
Hier haben wir Ihre Rechnungsdaten zusammengefasst:Kundennummer:18601460Rechnungsnummer:Rechnungsendbetrag: EUR 433,00Bitte überweisen Sie den Betrag unter Angabe des Verwendungszwecks:18601460Anbei die erforderlichen Daten im Anhang als DOC-Datei Sie können das Dokument ohne Bedenken öffnen und wenn Sie möchten jederzeit ausdrucken.
>>> http://scafandro.com.br/RECHs/
Wir bedanken uns für Ihr Vertrauen und wünschen Ihnen weiterhin viel Erfolg.
Offenburg1 – FIRST REISEBUERO
Die verlinkten Adressen
- 122.155.197.12/www/Rechnungs-Details/
- смолторг.рф/Rechnungsanschrift-korrigiert/ (xn--c1apcibmcl.xn--p1ai/Rechnungsanschrift-korrigiert/)
- dekormc.pl/js/Fakturierung/
- iclub8.hk/FORM/Rechnung-fur-Dienstleistungen-0757389/
- scafandro.com.br/RECHs/
- scotned.com/Rechnungsanschrift-korrigiert/
- tech4bargain.com/Rechnungs-scan/
- triround.com/RECHs/
- www.campusbowling.com.tr/Rechnungszahlung/
- www.japanese-skypelesson.com/Rechnungs/
- www.ketoanbaotin.com/Rechnungszahlung/
- www.madgroup.pk/RECHs/
- www.marocampus.ma/Rechnungs/
- www.payerlawgroup.com/Rechs/
laden eine Microsoft Word-Datei.
Öffnen Sie nicht die Microsoft Word-Dateien!
Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen:
Office 365
You are attempting to open a file that was created in an earlier version of Microsoft Office.
If the file opens in Protected View, click Enable Editing, and then click Enable Content.
Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.
Das bösartige Makro würde von Adressen wie
- techidra.com.br/eYE0Bjsz/
- planetferguson.net/DEAXUW/
- anzo.jp/tDAkOXiMr/
eine Datei nachladen und ausführen.
Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: mciwsd
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\mciwsd.exe“
Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 17/67! Führen Sie das Programm daher nicht aus!
Nach der Infektion würde die bösartige Software mit den IP-Adressen 108.51.20.17 oder 47.188.131.94:443 Kontakt aufnehmen!