Bezahlen Sie die Rechnung Nr. 0319959, Rechnung scan, Rechnung scan №084425 oder Rechnung №059972 von unterschiedlichen Empfängern verlinkt ein Word-Dokument, welches die bösartige Software ‚Emotet‘ nachlädt!
Am Montag, den 25. Juni 2018 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in deutscher Sprache versendet. Achtung: Die E-Mails stammen nicht von den darin genannten Absendern! Klicken Sie nicht auf die Links und öffnen Sie nicht die Microsoft Word-Dokumente! Ein Makro in den Word-Dokumenten lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert!
Betreff: Rechnung №059972
Absender: Martin; Kathrin ([email protected])Hallo (Vorname Nachname),
Die Forderung von EUR 1727.00 ziehen wir in Kürze von Ihrer bei uns hinterlegten Kreditkarte ein. Bitte überprüfen Sie die von Ihnen angegebenen Kreditkartendaten auf Richtigkeit und nehmen Sie ggf. eine Aktualisierung Ihrer Daten vor.
http://shop.69slam.sk/Rechnungszahlung/Fakturierung/
Mit den besten Grüßen
Martin, Kathrin
Betreff: Bezahlen Sie die Rechnung Nr. 0319959
Absender: American Dental Systems ([email protected])Guten Tag,
bitte unterschreiben und per Mail an mich zurücksenden.
http://shop.69slam.sk/Rechnungszahlung/Fakturierung/
Freundliche Grüße
American Dental Systems
Betreff: Rechnung scan №084425
Absender: Hr. Scholz – SCHO ([email protected])Guten Tag,
Die letzte fällige Rechnung für dein. Die Kosten hierfür betragen 1136,59 EUR. Von weiteren fälligen Rechnungen weiß ich nichts. Sollen das Rechnungen für Warenlieferungen sein?
http://www.ormana.org/DOC-Dokument/Erinnerung-an-die-Rechnungszahlung/
Wir freuen uns auf die weitere Zusammenarbeit!
Hr. Scholz – SCHO
Die verlinkten Adressen
- 35.184.187.178/RECHNUNG/Rechnung-fur-Zahlung-0931-540/
- www.ormana.org/DOC-Dokument/Erinnerung-an-die-Rechnungszahlung/
- shop.69slam.sk/Rechnungszahlung/Fakturierung/
laden eine Microsoft Word-Datei.
Öffnen Sie nicht die Microsoft Word-Dateien!
Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen:
Office 365
You are attempting to open a file that was created in an earlier version of Microsoft Office.
If the file opens in Protected View, click Enable Editing, and then click Enable Content.
Im Gegensatz zu Word-Dokumenten aus der letzten Woche hat sich die Optik des Word-Dokument etwas geändert (siehe Warnung „Angeblich Telekom-Rechnung als Word-Datei bekommen? RechnungOnline Monat Juni 2018 (Buchungskonto: 6729369xxx) von Telekom Deutschland GmbH {NoReply} bringt eine Word-Datei, die den Trojaner ‚Emotet‘ nachlädt!“ oder „Bezahlen Sie die Rechnung vom Juni 090242, Hilfestellung zu Ihrer Rechnung, Ihre Rechnung, Ihre Rechnung vom 18/06/2018 01266, in Rechnung gestellt, Rechnung, Rechnung 19814575, Rechnung scan, Rechnung vom 18 Juni, Zahlung bequem per Rechnung vom 18/06/2018 oder Zahlungserinnerung bringt über eine Word-Datei die bösartige Software ‚Emotet‘!„).
Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.
Das bösartige Makro würde von Adressen wie
- iconholidays.com.bd/PHzC/
eine Datei nachladen und ausführen.
Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: mciwsd
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\mciwsd.exe“
Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 13/68! Führen Sie das Programm daher nicht aus!
Nach der Infektion würde die bösartige Software mit der IP-Adresse 12.182.146.226 Kontakt aufnehmen!