Trojaner in Worddatei
Aktuell versuchen Cyberkriminelle einen Trojaner auf den Computer vieler Mailempfänger zu bringen. Mit dem Hinweis auf eine angebliche Rechnung und Lieferung für Reifen, soll der Empfänger dazu verleitet werden, die beigefügte Word-Datei zu öffnen. Hier verbirgt sich jedoch ein Trojaner, der derzeit noch nicht von vielen Antivirenprogrammen erkannt wird.
Beispieltext der Mail:
„Sehr geehrte Damen und Herren, in der Anlage erhalten Sie unsere Rechnung 36678875 vom 15.01.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs. Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus. Bitte beachten ! Dieser Beleg ist das Orginalexemplar ! Mit freundlichen Grüßen Laurenz Horn“
Die Datei „RECHN.15jan201636678875.doc“ kann in den unterschiedlichen Mails variieren. Gleiches kann für die angebliche Rechnungsnummer im Betreff der Mail gelten.
Die Analyse (Datum: 2016-01-20 13:06:30 UTC (entspricht 14:06 Uhr MEZ)) auf Virustotal.com ergab, dass grad mal 5 von 54 Antivirenprogrammen die Schadsoftware erkannten.
Öffnen Sie unter keinen Umständen die angehängte Datei!
Update 21.01.2016
Inzwischen haben wir verschiedene Varianten dieser Mail erhalten. Wie bereits vermutet, ändern sich die angeblichen Rechnungsnummern und die Bezeichnungen der Anhänge. Derzeit sind er hier jedoch immer wieder mit Schadsoftware belastete Word-Dateien, die im Anhang enthalten sind.
Beispieltext:
„Hallo, anbei erhalten Sie Rechnung Nr. 04935192 vom 20.01.2016.
Originalbeleg, bitte drucken Sie diesen für Ihre Unterlagen aus.
Möchten Sie Ihre Rechnungen auf dem Postweg? Lassen Sie es uns wissen!
Mit freundlichen Grüßen“
Anhang: RECHNUNG04965192.doc
Unterschrieben wird diese Mail weiter durch die Anschrift einer real existierenden Firma (z.B. Reifen Heinen GmbH aus Grefrath), die jedoch nicht für den Versand dieser Mail verantwortlich ist. Die angebliche Rechnung wird von den Tätern lediglich behauptet, um Sie zum Öffnen der Schadsoftware im Anhang zu bewegen. Der Name des Reifen-Händlers wird hier lediglich benutzt, um Seriösität vorzutäuschen. Es ist wahrscheinlich, dass ähnliche Mails mit anderen Firmennamen folgen werden.