in Rechnung gestellt 411286411, Ihre Rechnung, Ihre Rechnung & Lieferbestätigung, Ihre Rechnung von Martin, Kathrin, Ihre Rechnungskorrektur 9PI334749 / Kunden-Nr.: 71152331, Ihre Rechnungskorrektur 52JX747931 / Kunden-Nr.: 712837, Juni 2018, Rechnung (Konto für Buchungen: 83543458), Rechnung 012496 oder Rechnung.-Nr.: 6L78280060 v. 09/07/2018 lädt über ein Word-Makro die bösartige Software ‚Emotet‘!

Am Montag, den 09. Juli 2018 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in deutscher Sprache versendet. Achtung: Die E-Mails stammen nicht von den darin genannten Absendern! Klicken Sie nicht auf die Links und öffnen Sie nicht die Microsoft Word-Dokumente! Ein Makro in den Word-Dokumenten lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! 

Betreff: Ihre Rechnung von Martin, Kathrin
Absender: Martin; Kathrin ([email protected])

Guten Morgen,

Mit dieser E-Mail erhalten Sie die Auftragsbestätigung und RechnungKundennummer861155Rechnungsdaten Rechnungsnummer313160693Kaufdatum09 Juli 2018Nettobetrag343,18 €Bruttobetrag455,62 €

http://plenimax.com.br/Bestellungen/

Mit freundlichen Grüße,

Martin, Kathrin

Achtung: Es handelt sich um eine betrügerische E-Mail! Die E-Mail stammt nicht von dem darin genannten Absender! Öffnen Sie nicht den Link!

In den meisten E-Mails ist am Ende auch eine Telefon-Nr. und Telefax-Nr. angegeben. Teilweise befindet sich am Ende sogar ein Firmen-Logo / Disclaimer.

Neben dem o. g. Beispiel werden auch die folgenden E-Mails versendet:

Betreff: Rechnung.-Nr.: 6L78280060 v. 09/07/2018
Absender: Reisebüro Kylltal Trier, Glockenstraße ([email protected])

Sehr geehrter Kunde,

bitte entnehmen Sie dem Anhang die Rechnung gemäß der Nummer im Kopftext. Diese Mailbox wird nur zum automatischen Versand von Informationen verwendet. Antworten an diese Adresse erreichen uns nicht. Sollten Sie Fragen dazu haben, wenden Sie sich bitte an Ihren Ansprechpartner bei uns. Um den Inhalt dieses Emails sehen zu können, öffnen Sie bitte das angefügte doc Dokument.

http://www.srgeducation.com/Zahlungsschreiben/

Für Fragen zu diesem Zahlungsschreiben können Sie uns.

Viele Grüße

Reisebüro Kylltal Trier, Glockenstraße

 

Betreff: Ihre Rechnung
Absender: Clement Guerin ([email protected])

Guten Morgen ,

Anbei erhalten Sie damit die dritte Rechnung zu unserem gemeinsamen Projekt.Sie erhalten das Original auch noch separat auf dem Postweg.

http://www.yeni.odakjaponparca.com/Rechnungs-Details/RECHNUNG/Zahlungserinnerung-vom-Juli-0851393/

Mit freundlichen Grüße
Clement Guerin

Betreff: Ihre Rechnung & Lieferbestätigung
Absender: Klause am See ([email protected])

Guten Abend,

wie besprochen, in der Anlage die Rechnung zum Unfallschaden.die Abtretungsbest. senden ich dir seperat.

http://snejankagd.com/RECHs/

Herzliche Grüße

Klause am See

Betreff: Ihre Rechnungskorrektur 9PI334749 / Kunden-Nr.: 71152331
Absender: Johann Schwaiger GmbH ([email protected])

Guten Abend,

anbei erhalten Sie unsere Rechnung mit der Beleg-Nr.: 9PI334749für Ihren Auftrag mit der Auftrags-Nr.: 71152331

http://www.season12.in/Rechnungs-docs/

Viele Grüße

Johann Schwaiger GmbH

Betreff: Juni 2018, Rechnung (Konto für Buchungen: 83543458)
Absender: IBP Ingenieurbüro (1&1) ([email protected])

 

Guten Morgen,

Im Anhang erhalten Sie heute von uns die Rechnung zu Ihrer Card und gegebenenfalls dazu bestellter Partner – oder Zusatzkarten.Alle wesentlichen Informationen zum Rechnungsbetrag, Zahlungsziel und den Bankverbindungsdaten für die Überweisung finden Sie in der im Anhang befindlichen Rechnung.

http://www.bagiennanarew.pl/libraries/EL-RECH/

Lieben Dank

IBP Ingenieurbüro (1&1)

Betreff: Ihre Rechnungskorrektur 52JX747931 / Kunden-Nr.: 712837
Absender: Martin Waagen ([email protected])

 

Guten Morgen,

unser Logistikzentrum hat Ihre Bestellung heute an DHL übergeben. Anbei erhalten Sie Ihre Rechnung im DOC-Format für Ihre Unterlagen. Vielen Dank für Ihren Einkauf.

http://innan.thejennie.se/Rechnungs-docs/

Sollten Sie Fragen dazu haben, wenden Sie sich bitte an Ihren Ansprechpartner bei uns.

Viele Grüße

Martin Waagen

Betreff: Rechnung 012496
Absender: [email protected] ([email protected])

 

Guten Abend,

der Antrag anbei.

http://lashasystems.com/Dokumente/DETAILS/Ihre-Rechnung-vom-09.07.2018-081181/

Freundliche Grüße

[email protected]

Betreff: in Rechnung gestellt 411286411
Absender: VM2217 Häusgen Klaus (E-Mail) ([email protected])

vielen Dank für Ihre Anfrage. Im Anhang übersende ich Ihnen das ausgearbeitete Angebot.Für Fragen stehen wir ihnen gerne jederzeit zur Verfügung.

http://www.egesatizmir.com/Rechnungs-Details/DETAILS/Rechnung-vom-09/07/2018-Nr022389/

Herzliche Grüße,
VM2217 Häusgen Klaus (E-Mail)

Die verlinkten Adressen

  • http://plenimax.com.br/Bestellungen/
    rechnung-El_094033355-51.doc
  • www.srgeducation.com/Zahlungsschreiben/
  • www.yeni.odakjaponparca.com/Rechnungs-Details/RECHNUNG/Zahlungserinnerung-vom-Juli-0851393/
  • snejankagd.com/RECHs/
  • www.season12.in/Rechnungs-docs/
  • www.bagiennanarew.pl/libraries/EL-RECH/
  • innan.thejennie.se/Rechnungs-docs/
  • lashasystems.com/Dokumente/DETAILS/Ihre-Rechnung-vom-09.07.2018-081181/
  • www.egesatizmir.com/Rechnungs-Details/DETAILS/Rechnung-vom-09/07/2018-Nr022389/

laden eine Microsoft Word-Datei.

 

Öffnen Sie nicht die Microsoft Word-Dateien!

 

Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen:

Office 365

You are attempting to open a file that was created in an earlier version of Microsoft Office.

If the file opens in Protected View, click Enable Editing, and then click Enable Content.

Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.

Das bösartige Makro würde von Adressen wie

  • wildpete.com/tWM/
  • www.hukum.unwiku.ac.id/Ocz19vUltp/
  • www.sohaans.com/l4LLwqLT/

eine Datei nachladen und ausführen.

 

Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: unicodesteps
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\unicodesteps.exe“

Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 22/68! Führen Sie das Programm daher nicht aus!

Nach der Infektion würde die bösartige Software mit der IP-Adresse 24.121.176.48:443 oder 187.167.192.22 Kontakt aufnehmen!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.