[Wichtig] Rechnung, Kundennummer SC75565, Rechnung G9W43816 vom 27 August 2018, Kundennummer 9Q0189, Rechnung F8I720873 vom 27.08.2018, Rechnung, Rechnung D – 045-AZ5459, Rechnung D – 045-AZ5459 (Vorname Nachname) oder KS-Wemding GmbH Zahlungsavis vom 27/08/2018 bringt über ein Word-Makro eine bösartige Software (‚Emotet‘)!

Am Montag, den 27. August 2018 wurden durch unbekannte Dritte betrügerische E-Mails in deutscher Sprache versendet. Achtung: Die E-Mails stammen nicht von den darin genannten Absendern! Öffnen Sie nicht die Microsoft Word-Dokumente! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert! Außerdem wird ein weiteres Trojanisches Pferd nachgeladen, welches im Online-Banking Geld klauen möchte (siehe unten). 

Betreff: [Wichtig] Rechnung

Guten Tag,

Order ID 4005375810Kunden ID MN04117Datum 27.08.2018Fa. Gmeineder Rechnung A7P99638Währung: EURZwischensumme netto EUR – 416,0019,00% MwSt. enthalten EUR – 79,04Versandkosten brutto EUR – 0,00*************************************************************Rechnungsbetrag brutto EUR – 495,04Lieferdatum: Ist gleich dem Rechnungsdatum.

Achtung: Es handelt sich um eine betrügerische E-Mail! Die E-Mail stammt nicht von den darin genannten Absendern! Öffnen Sie nicht die Anlage!

Neben der o. g. E-Mail gibt es auch noch folgende Versionen:

Betreff: Kundennummer SC75565, Rechnung G9W43816 vom 27 August 2018

Guten Tag,

anbei die Rechnung zu den von bestellten Kapitalanleger Interessenten. (Wenn Sie alle nehmen-können wir ein Rabatt geben.)In der Rechnung stehen auch Reklamitionsgründe etc.Sofern der Rechnungsbetrag bei uns eingegangen ist, bekommen Sie binnen 24 Stunden Ihre Leads geliefert wie in derRechnung beschrieben.

 

Betreff: Rechnung D – 045-AZ5459

im Anhang haben wir für Sie aktuelle steuerliche und rechtliche Informationen zusammengestellt. Für Ihre Rückfragen stehen wir Ihnen selbstverständlich gerne zur Verfügung.

Rechnung D – 045-AZ5459.doc

Betreff: Rechnung D – 045-AZ5459 (Vorname Nachname)

im Anhang haben wir für Sie aktuelle steuerliche und rechtliche Informationen zusammengestellt. Für Ihre Rückfragen stehen wir Ihnen selbstverständlich gerne zur Verfügung.

Rechnung D – 045-AZ5459.doc
(Vorname Nachname)

Betreff: Kundennummer 9Q0189, Rechnung F8I720873 vom 27.08.2018

Guten Abend,

wunschgemäß übersenden wir Ihnen in der Anlage Ihre aktuelle Rechnung als DOC-Dokument.

Betreff: KS-Wemding GmbH Zahlungsavis vom 27/08/2018

Guten Tag,

ich wollte mal nachfragen ob soweit mit unserer Rechnung alles in Ordnung ist?Der Rechnungsbetrag wurde heute morgen durch die Buchhaltung angewiesen.

Wir freuen uns auf die weitere Zusammenarbeit mit Ihnen.

Achtung: Es handelt sich um eine betrügerische E-Mail! Die E-Mail stammt nicht von den darin genannten Absendern! Öffnen Sie nicht die Anlage!

RE-O-135769225_1.doc
RECH-BYFZ-10638-90959.doc
Rechnung D – 045-AZ5459.doc
RG-HC-3847827_0.doc
RECH-AI-50280-2968.doc
RG-D-9975516_55.doc

Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen. Inhaltlich (und vom nachgeladenen Trojaner her) passt sie daher zur E-Mail „Zahlung + Versandstatus von Sparkasse ([email protected]), Zahlungsbestätigung – 3098052704 von Sparkassen-Finanzportal ([email protected]) oder Zahlung in Auftrag – 627095 von Sparkasse ([email protected])“ des gleichen Tages.

Office 365

This document created in online version of Microsoft Office Word

To view or edit this document, please click „Enable editing“ button on the top yellow bar, and then click „Enable content“

Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.

Das bösartige Makro würde von Adressen wie

  • jobarba.com/wp-content/a4YrtY2TiR
  • nestoroeat.com/CwowZ
  • laschuk.com.br/OLuTBXZu

eine Datei nachladen und ausführen.

lookmheg.exe

Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:

Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: lookmheg
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\lookmheg.exe“

Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 17/67! Führen Sie das Programm daher nicht aus!

 

Neben dem Trojaner „Emotet“ wird auch ein weiterer Trojaner nachgeladen, bei dem es sich um einen Online-Banking-Trojaner handelt. Wie dieser an Ihr Geld kommen möchte, sehen Sie in der Warnung „Ihr DHL Paket kommt am Dienstag, 14:00-17:00 Uhr. von DHL Transport-Team ([email protected]) oder DHL Support ([email protected]) bringt über ein Word-Dokument die bösartige Software ‚Emotet‘ und lädt einen Online-Banking-Trojaner nach!“ vom 31.07.2018!

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.