französische Rechnungen wie ‚Rappel: Facture 646 à partir de‘ oder ‚SVP voir attachement.‘ bringen die bösartige Software ‚Emotet‘!
Am Montag, den 01. Oktober 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in französischer Sprache versendet. Achtung: Die E-Mail stammt nicht von dem darin genannten Absender! Öffnen Sie nicht das Microsoft Word-Dokument! Ein Makro im Word-Dokument lädt das Trojanische Pferd (‚Emotet‘) nach, welches den PC infiziert!
Betreff: Rappel: Facture 646 à partir de Paul ******
Absender: Paul ****** (Paul.******@******[email protected])Bonjour, Cher(e) Client(e),
Pouvez-vous s’il vous plaît me faire savoir quand la facture ci-jointe sera payée.
Je vous prie de croire, en mes sentiments les meilleurs.
Bon courage et bonne journée à vous,
Paul ******
Téléphone: 1 471 469 296 152Fax.: 1 471 469 296 131Mail:Paul.******@******-gmbh.de
Achtung: Es handelt sich um eine betrügerische E-Mail! Die E-Mail stammt nicht von dem darin genannten Absender! Öffnen Sie nicht die Anlage!
Neben der o. g. E-Mail gibt es auch noch folgende Variante:
Betreff: Rappel: Facture 25868 à partir de Bettina ******
Absender: Bettina ****** (Bettina@******[email protected])Cher,
Votre dernière facture est disponible.
Nous vous remercions de votre confiance.
Bonne journée,
Bettina ******
Bureau: +1 377 549-181-027Fax.: +1 377 549-181-034EMail:Bettina@******.de
oder
Betreff: SVP voir attachement.
Absender: Info Motorradzentrum ****** (info@motorradzentrum-******[email protected])
Chèr(e),
Vous trouverez ci-joint la lettre de règlement pour le paiement émis.
Croyez, en l’expression de mes salutations les meilleures.
Cordialement,
Info Motorradzentrum ******
Téléphone: +1 434 546-133-117Fax.: +1 434 546-133-951WhatsApp 0043/6055777eMail:info@motorradzentrum-******.de
Öffnen Sie nicht die Microsoft Word-Datei!
- FACT-646.doc
- FACTURE-25868.doc
- FACTURE-67701.doc
Die .doc-Datei enthält ein bösartiges Makro! Die Microsoft Word – Datei würde so aussehen:
Office 365
This document created in online version of Microsoft Office Word
To view or edit this document, please click ‚Enable editing‘ button on the top of the yellow bar, and then click ‚Enable content‘
Das gefälschte Dokument behauptet, die Bearbeitung sowie Inhalte müssten aktiviert werden, damit das Dokument betrachtet werden kann. Das stimmt aber nicht! Es handelt sich um eine gefälschte Information! Klicken Sie weder auf „Bearbeitung aktivieren“, noch auf „Inhalt aktivieren“.
Das bösartige Makro würde von der Adresse
- bsrcellular.com/zhm65KeNd
eine Datei nachladen und ausführen.
Nach der Ausführung legt sich das Programm (mit unterschiedlichen Namen) in AppData/Local/Microsoft/Windows und trägt sich in die Registry ein, um bei jedem PC-Start ausgeführt zu werden:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: convstarta
Daten: „C:\Users\user\AppData\Local\Microsoft\Windows\convstarta.exe“
Die Erkennungsrate für die ausführbare Datei liegt laut Virustotal bei 19/69! Führen Sie das Programm daher nicht aus!
Nach der Infektion würde die bösartige Software mit der IP-Adresse 87.66.13.80 Kontakt aufnehmen!