POSTA CERTIFICATA: Rechnung per Mail an Kunden, RgNr., (ID 1-1SA87XX00) Rechnung, Ihre Rechnung von IBP Ingenieurbüro (1&1), Ihre Rechnung Auftragsbestätigung zur Auftragsnummer: 3IYE131570, Ihre Rechnung Auftragsbestätigung zur Auftragsnummer: 73OMO417567, Kundennr. 441392 – Ihre Rechnung für 06/2018 – 93GV9524609 oder Kundennr. 11958332 – Ihre Rechnung für 06/2018 – 85QP0864989 lädt über ein Word-Dokument die bösartige Software ‚Emotet‘!
Am Mittwoch, den 12. Juli 2018 wurden durch unbekannte Dritte die folgenden betrügerischen E-Mails in deutscher Sprache versendet. Achtung: Die E-Mails stammen nicht von den darin genannten Absendern! Klicken Sie nicht auf die Links und öffnen Sie nicht die Microsoft Word-Dokumente! Ein Makro in den Word-Dokumenten lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! Neben den bisherigen E-Mails (siehe weiter unten) kommt auch folgende Version vor:
Betreff: POSTA CERTIFICATA: Rechnung per Mail an Kunden
Absender: Per conto di: [email protected] ([email protected])Messaggio di posta certificata
——————————————————————————–
Il giorno 12/07/2018 alle ore 07:54:57 (+0200) il messaggio
„Rechnung per Mail an Kunden“ è stato inviato da „[email protected]“
indirizzato a:
(E-Mail-Adresse)
Il messaggio originale è incluso in allegato.
Identificativo messaggio: [email protected]
In diesem Fall befindet sich die E-Mail mit dem bösartigen Link in der Anlage „postacert.eml“:
Betreff: Rechnung per Mail an Kunden
Absender: Senta Steiss ([email protected])Sehr geehrter Kunde,
Mit dieser E-Mail erhalten Sie die Auftragsbestätigung und RechnungKundennummer5865328Rechnungsdaten Rechnungsnummer63GLG1785537Kaufdatum12 Juli 2018Nettobetrag308,48 €Bruttobetrag495,37 €
http://www.bettybottconsultation.com/Rechnungs/
Für Rückfragen stehen wir Ihnen gern zur Verfügung.
Lieben Dank
Senta Steiss
Achtung: Es handelt sich um eine betrügerische E-Mail! Die E-Mail stammt nicht von dem darin genannten Absender! Öffnen Sie nicht den Link!
Neben dem o. g. Beispiel werden auch die folgenden E-Mails versendet:
Betreff: RgNr.
Absender: Honda-Hofmann ([email protected])Sehr geehrte Damen und Herren,
heute erhalten Sie Ihre Rechnung vom 12/07/2018. Sie finden diese im Anhang dieser E-Mail als DOC-Datei.Den Betrag von 601,09 EUR buchen wir am 16/07/2018 von Ihrem Konto ab.Sollten Ihre Bankdaten nicht mehr aktuell sein, ändern Sie diese ebenfalls.
http://www.izumrud-luxury.ru/Rechnungskorrektur/
Bei Fragen zu Rechnungen können Sie mich gerne kontaktieren.
Viele Grüße
Honda-Hofmann
Betreff: Ihre Rechnung von IBP Ingenieurbüro (1&1)
Absender: IBP Ingenieurbüro (1&1) ([email protected])Guten Tag,
Folgende Sendung hat heute unser Logistik-Zentrum verlassen und ist auf dem Weg zu Ihnen: Ihre Kundennummer8500025Zahlungsreferenz30YDU9619044
http://www.stefaniabrunori.com/Rechnung/
Mit freundlichen Grüße,
IBP Ingenieurbüro (1&1)
Betreff: Ihre Rechnung Auftragsbestätigung zur Auftragsnummer: 3IYE131570
Absender: Stefan Drieling Heizungsbau ([email protected])Sehr geehrte Damen und Herren,
RechnungKundennummer: 0029345Rechnungsnummer: 3IYE131570anbei finden Sie Ihre aktuelle Rechnung.Ihr Rechnungsbetrag: 648,34 Euro
http://www.canottierimilano.it/Rechnungs/
Viele Grüße
Stefan Drieling Heizungsbau
Bitte antworten Sie nicht an den Absender SYSTEM, da elektronisch erstellt und versandt wurde.
Betreff: Kundennr. 441392 – Ihre Rechnung für 06/2018 – 93GV9524609
Absender: Christian Ackermann ([email protected])Guten Abend,
in der Anlage erhalten Sie unsere Rechnung.Bitte antworten Sie nicht auf diese Mail.
http://www.bettybottconsultation.com/Rechnungs/
Bei Fragen zu Rechnungen können Sie mich gerne kontaktieren.
Wir freuen uns auf die weitere Zusammenarbeit!
Christian Ackermann
Betreff: Ihre Rechnung Auftragsbestätigung zur Auftragsnummer: 73OMO417567
Absender: Holz Kinge ([email protected])Sehr geehrte(r),
Die Lieferung erfolgt an: 16.07.2018Vielen Dank für Ihre Bestellung.Bitte überweisen Sie den Saldo zur Fälligkeit siehe Rechnung den link unten unter Angabe der Referenznummer 10810604121440 auf folgendes Konto:IBAN: DE14200800004133109240BIC: DRESDEFF355.Ihre Rechnung finden Sie im Anhang dieser E-Mail.Der Anhang ist im DOC Format beigefügt. Bitte beachten Sie dabei, dass es nach Erhalt dieser E-Mail bis zu 2 Stunden dauern kann, bis Ihnen der Paketdienstleister die Sendungsverfolgung zur Verfügung stellen kann.Garantie:Auf alle Produkte mit dem Garantie-Logo gewähren wir drei Jahre Garantie. Bitte bewahren Sie Ihre Rechnung auf, diese gilt als Garantieschein. Die gesetzlichen Gewährleistungsrechte werden durch diese Garantie nicht eingeschränkt.
http://www.iconetworkllc.com/Rechnungs-docs/
Verbleiben mit freundlichen Grüßen
Holz Kinge
Betreff: Kundennr. 11958332 – Ihre Rechnung für 06/2018 – 85QP0864989
Absender: Werner Scholz GmbH & Co. KG ([email protected])Guten Abend,
vielen Dank für Ihre Bestellung bei uns. Hiermit bestätigen wir Ihren Auftrag.Ihre Rechnung befindet sich im Anhang. ACHTUNG: Rechnungen versenden wir ausschließlich nur noch per E-Mail!Bitte leiten Sie die Rechnung an Ihre Buchhaltung weiter!Rechnungsnummer: 85QP0864989Auftragsnummer: 66988301Kundennummer: 11958332Sobald Ihre Ware unser Haus verlässt, erhalten Sie gesondert eine e-Mail mit der zugehörigen Paketnummer bzw. mit welcher Spedition die Ware versendet worden ist. Die aktuelle Lieferzeit beträgt ca. 1-3 Arbeitstage Mo.-Fr., bei Speditionsversand 1-4 Arbeitstage. ACHTUNG: Bei evtl. Verpackungsschäden bitte sofort bei dem anliefernden Paketdienst oder der Spedition reklamieren quittieren lassen. Wenn wir keine Quittierung haben, können wir die Reklamation leider nicht bearbeiten.
http://www.soberandbright.co.uk/Auftragsbestatigung/
Freundliche Grüße
Werner Scholz GmbH & Co. KG
Betreff: (ID 1-1SA87XX00) Rechnung
Absender: Stefan Drieling Heizungsbau ([email protected])Guten Tag,
es tut uns leid, dass Sie Schwierigkeiten mit unseren Produkten bekommen haben. Anbei erhalten Sie eine Rechnungskorrektur für die retournierte Ware. Den Betrag können Sie mit Ihren offenen Rechnungen verrechnen. Sollten Sie in Zukunft Schwierigkeiten oder Fragen haben, so zögern Sie bitte nicht, uns per E-Mail oder telefonisch zu kontaktierenWir danken Ihnen für Ihre Mühe und hoffen, dass wir Ihnen auch in Zukunft einen guten und schnellen Service bieten dürfen.
http://www.rpf-maximum.ru/Rechnungs-docs/
Für Rückfragen stehen wir Ihnen gern zur Verfügung.
Herzliche Grüße
Stefan Drieling Heizungsbau
Von meinem iPhone gesendet.
Betreff: Ihre Rechnung von IBP Ingenieurbüro (1&1)
Absender: IBP Ingenieurbüro (1&1) ([email protected])Guten Tag,
RechnungRechnungsnummer: 852FZ07088Kundennummer: 507608vielen Dank für Ihren Auftrag vom Samstag. Ihr Auftrag wurde bearbeitet und wird nun versendet.Sollten Sie noch Fragen haben, stehen wir Ihnen gerne zur Verfügung. Einzelheiten zum AuftragAngebotsNr.: 119-6242783Verpackung und Versand DHL Paket: 0,00 € Gesamtsumme:460,96 €Vielen Dank für Ihren Auftrag. Soweit nicht anders vermerkt, ist das Rechnungsdatum gleichzeitig das Lieferdatum.
http://www.start-up-consultants.com/Rechnungs/
Falls Ihr Fragen oder Anmerkungen dazu habt, höre ich das jederzeit gerne von Euch.
Freundliche Grüße
IBP Ingenieurbüro (1&1)
Die verlinkten Adressen
- http://www.izumrud-luxury.ru/Rechnungskorrektur/
- www.stefaniabrunori.com/Rechnung/
- www.canottierimilano.it/Rechnungs/
- www.bettybottconsultation.com/Rechnungs/
- www.iconetworkllc.com/Rechnungs-docs/
- www.soberandbright.co.uk/Auftragsbestatigung/
- www.rpf-maximum.ru/Rechnungs-docs/
- www.start-up-consultants.com/Rechnungs/
laden eine Microsoft Word-Datei.
Öffnen Sie nicht die Microsoft Word-Dateien!
Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen:
Office 365
You are attempting to open a file that was created in an earlier version of Microsoft Office.
If the file opens in Protected View, click Enable Editing, and then click Enable Content.
Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.
Das bösartige Makro würde von Adressen wie
- www.baycare.psdsandbox.com/aSnRPu8PfN/
- www.studentshelpforum.com/XHdQXR/
- www.sunnybeach05.ru/yxdNH0zw/
- www.shetakari.in/vn2c0j/
eine Datei nachladen und ausführen.
Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: lookmheg
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\lookmheg.exe“
Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 30/66! Führen Sie das Programm daher nicht aus!
Nach der Infektion würde die bösartige Software mit der IP-Adresse 70.124.101.195:443 Kontakt aufnehmen!