Abrechnung 86434295 vom 20.08.2018 von GiroPay Co. KG ([email protected]) bringt eine bösartige Software / einen Online-Banking-Trojaner!

Am Montag, den 20. August 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Achtung: Der Link in der E-Mail lädt ein Trojanisches Pferd, welches u. a. das Online-Banking befällt und die Anzeige des Online-Banking manipuliert! Öffnen Sie daher nicht die Anlage!

Betreff: Abrechnung 86434295 vom 20.08.2018
Absender: GiroPay Co. KG ([email protected])

Sehr geehrte/r (Vorname Nachname),

bedauerlicherweise konnte Ihre Zahlung an GiroPay Co. KG nicht abgebucht werden.

Gespeicherte Datan:

(Vorname Nachname)
(Straße und Haus-Nr.)
(PLZ und Wohnort)

Tel. (Telefon-Nr.)

Die vollständige Zahlung erwarten wir bis zum 24.08.2018. Falls wir bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.

Ihre persönliche Rechnung liegt unter folgendem Link zum Download bereit.

Aufgrund des bestehenden Zahlungsausstands sind Sie gezwungen außerdem, die entstandene Kosten von 6,86 Euro zu bezahlen. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 20.08.2018.

Bei Rückfragen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen.

Mit freundlichen Grüßen

GiroPay Co. KG

Achtung: Es handelt sich um eine gefälschte Nachricht! Klicken Sie daher nicht auf den Link! Im ZIP-Archiv ist eine bösartige Software enthalten! 

In der Vergangenheit wurden solche E-Mails direkt mit ZIP-Archiv als Anhang versendet. In diesem Exemplar ist die bösartige Datei aber nur verlinkt.

Die Adresse clubpartyideas.com/20.08.2018-624934515.zip würde zunächst ein ZIP-Archiv laden, in dem eine .com-Datei (also eine ausführbare Datei) enthalten ist:

20.08.2018-624934515.zip

20.08.2018-624934515.com

Laut Virustotal liegt die Erkennungsrate für die ZIP-Datei bei 11/60 (Nymaim).

Die .com-Datei wird laut Virustotal bereits mit 19/68 erkannt (ebenfalls Nymaim)!

 

Nach der Ausführung würde folgende Meldung erscheinen:

Adobe PDF Document
There is a problem with Adobe Acrobat/Reader. If it is running, please exit and try again. (1014:1014)

Das Trojanische Pferd lädt täglich verschiedene ausführbare Dateien nach. Hier ein paar Beispiele:

lever-48.exe (Virustotal: 10/67)

machine-19.exe (Virustotal: 10/67)

quark-02.exe (Virustotal: 11/67)

 

In der Warnung „Paydirect GmbH & Co. KG unbeglichene Rechnung Buchung 67297780 Max Mustermann, Paydirect Limited & Co. KG Max Mustermann – Ihr angegebenes Konto ist nicht hinreichend gedeckt, Max Mustermann – Paydirect eG automatische Kontoabbuchung konnte nicht durchgeführt werden 26.05.2018, Max Mustermann automatische Kontoabbuchung konnte nicht durchgeführt werden 26.05.2018, Paydirect GbR – Ihr angegebenes Girokonto ist nicht hinreichend gedeckt oder Automatische Lastschrift 89060583 konnte nicht vorgenommen werden 24.05.2018 von Paydirect Limited & Co. KG ([email protected]), Paydirect eG ([email protected]), Paydirect GbR ([email protected]), Paydirect GmbH & Co. KG ([email protected] oder [email protected]) oder Directpay GbR ([email protected]) bringt einen Online-Banking-Trojaner“ vom 27.05.2018 sehen Sie, wie das Trojanisches Pferd im Online-Banking Geld klauen würde.

Kommentar(e)

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert