Rechnung Januar 2016: Vorsicht vor Malware

Alexander Trust, den 10. Februar 2016
Rechnung Januar 2016-040895 - Screenshot
Rechnung Januar 2016-040895 – Screenshot

Unter dem wechselnden Betreff „Rechnung Januar 2016-XXXX“ sind derzeit E-Mails im Umlauf, deren Anhang eine Word-Datei sein soll. Nutzer sollten diese Datei nicht öffnen, da es sich dabei um Malware handelt, die den eigenen Computer ausspioniert.

Heute schreibt zum Beispiel ein Philipp Ludwig an eine Adresse, die es gar nicht gibt, aber per Catchall trotzdem angekommen ist:

„Hallo ,

endlich:) Anbei die Rechnung von Januar. Ich hoffe, alles ist gut.

Liebe Grüße

Philipp Ludwig“

Absender gefälscht

Den vermeintlichen Philipp Ludwig gibt es nicht. Denn der Absender der E-Mail ist gefälscht. Möchte man auf die E-Mail antworten, würde man an eine Adresse der eigenen Topleveldomain schreiben, die es nicht gibt. In unserem Fall beispielsweise LudwigPhilipp785 [at] sajonara [punkt] de. Diese gab es nie und bei uns kennt niemand einen Philipp Ludwig. Entsprechend ist das nur ein zusätzliches Indiz dafür, dass es sich um eine gefälschte E-Mail handelt.

E-Mail aus Panama

In jedem Fall geht zumindest der Versand auf eine IP-Adresse 201.224.58.2 aus Panama, Amerika, zurück. Das bedeutet jedoch nicht, dass der Urheber des Malware-Angriffs auch von dort kommt. Viel zu einfach kann man seine IP-Adresse fälschen. Letztlich ist es unmöglich, den Urheber der E-Mail ausfindig zu machen.

Wechselnder Betreff, gleicher Inhalt

Sowohl der Betreff der E-Mails als auch die Datei im Anhang variiert im Dateinamen. Beispielsweise kann der Betreff „Rechnung Januar 2016-040895“ lauten, oder „Rechnung Januar 2016-04957“ usf. Das Schema variiert wahrscheinlich deshalb, um das Auffinden von Informationen zu erschweren. Ein Script wird zufällige Nummernkombinationen für den Namen des Rechnungsdokuments wie den Betreff erzeugen.

Die Dateien im Anhang heißen entsprechend „RECHNUNG-JAN-2015-040895.doc“ oder „RECHNUNG-JAN-2015-04957.doc“ usw. Würde man die DOC-Datei in Microsoft Word öffnen, wäre darin kein Inhalt enthalten. Vielmehr meldet sich die Software mit einer Fehlermeldung – in diesem Moment wurde auf Windows-Systemen mit älteren Word-Versionen bereits eine Sicherheitslücke ausgenutzt. Man sollte dann eine entsprechende Software zum Entfernen von Malware einsetzen.


Ähnliche Nachrichten