Abrechnung 86434295 vom 20.08.2018 von GiroPay Co. KG ([email protected]) bringt eine bösartige Software / einen Online-Banking-Trojaner!
Am Montag, den 20. August 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Achtung: Der Link in der E-Mail lädt ein Trojanisches Pferd, welches u. a. das Online-Banking befällt und die Anzeige des Online-Banking manipuliert! Öffnen Sie daher nicht die Anlage!
Betreff: Abrechnung 86434295 vom 20.08.2018
Absender: GiroPay Co. KG ([email protected])Sehr geehrte/r (Vorname Nachname),
bedauerlicherweise konnte Ihre Zahlung an GiroPay Co. KG nicht abgebucht werden.
Gespeicherte Datan:
(Vorname Nachname)
(Straße und Haus-Nr.)
(PLZ und Wohnort)Tel. (Telefon-Nr.)
Die vollständige Zahlung erwarten wir bis zum 24.08.2018. Falls wir bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.
Ihre persönliche Rechnung liegt unter folgendem Link zum Download bereit.
Aufgrund des bestehenden Zahlungsausstands sind Sie gezwungen außerdem, die entstandene Kosten von 6,86 Euro zu bezahlen. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 20.08.2018.
Bei Rückfragen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen.
Mit freundlichen Grüßen
GiroPay Co. KG
Achtung: Es handelt sich um eine gefälschte Nachricht! Klicken Sie daher nicht auf den Link! Im ZIP-Archiv ist eine bösartige Software enthalten!
In der Vergangenheit wurden solche E-Mails direkt mit ZIP-Archiv als Anhang versendet. In diesem Exemplar ist die bösartige Datei aber nur verlinkt.
Die Adresse clubpartyideas.com/20.08.2018-624934515.zip würde zunächst ein ZIP-Archiv laden, in dem eine .com-Datei (also eine ausführbare Datei) enthalten ist:
20.08.2018-624934515.zip
20.08.2018-624934515.com
Laut Virustotal liegt die Erkennungsrate für die ZIP-Datei bei 11/60 (Nymaim).
Die .com-Datei wird laut Virustotal bereits mit 19/68 erkannt (ebenfalls Nymaim)!
Nach der Ausführung würde folgende Meldung erscheinen:
Adobe PDF Document
There is a problem with Adobe Acrobat/Reader. If it is running, please exit and try again. (1014:1014)
Das Trojanische Pferd lädt täglich verschiedene ausführbare Dateien nach. Hier ein paar Beispiele:
lever-48.exe (Virustotal: 10/67)
machine-19.exe (Virustotal: 10/67)
quark-02.exe (Virustotal: 11/67)
Hallo, habe genau so eine E-mail ethalten nur mit fast identischem Absender. Bei mir ist es Online Pay AG mit dieser E-mail: [email protected]