Rechnung Januar 2016: Vorsicht vor Malware
Alexander Trust, den 10. Februar 2016
Unter dem wechselnden Betreff „Rechnung Januar 2016-XXXX“ sind derzeit E-Mails im Umlauf, deren Anhang eine Word-Datei sein soll. Nutzer sollten diese Datei nicht öffnen, da es sich dabei um Malware handelt, die den eigenen Computer ausspioniert.
Heute schreibt zum Beispiel ein Philipp Ludwig an eine Adresse, die es gar nicht gibt, aber per Catchall trotzdem angekommen ist:
„Hallo ,endlich:) Anbei die Rechnung von Januar. Ich hoffe, alles ist gut.
Liebe Grüße
Philipp Ludwig“
Absender gefälscht
Den vermeintlichen Philipp Ludwig gibt es nicht. Denn der Absender der E-Mail ist gefälscht. Möchte man auf die E-Mail antworten, würde man an eine Adresse der eigenen Topleveldomain schreiben, die es nicht gibt. In unserem Fall beispielsweise LudwigPhilipp785 [at] sajonara [punkt] de. Diese gab es nie und bei uns kennt niemand einen Philipp Ludwig. Entsprechend ist das nur ein zusätzliches Indiz dafür, dass es sich um eine gefälschte E-Mail handelt.
E-Mail aus Panama
In jedem Fall geht zumindest der Versand auf eine IP-Adresse 201.224.58.2 aus Panama, Amerika, zurück. Das bedeutet jedoch nicht, dass der Urheber des Malware-Angriffs auch von dort kommt. Viel zu einfach kann man seine IP-Adresse fälschen. Letztlich ist es unmöglich, den Urheber der E-Mail ausfindig zu machen.
Wechselnder Betreff, gleicher Inhalt
Sowohl der Betreff der E-Mails als auch die Datei im Anhang variiert im Dateinamen. Beispielsweise kann der Betreff „Rechnung Januar 2016-040895“ lauten, oder „Rechnung Januar 2016-04957“ usf. Das Schema variiert wahrscheinlich deshalb, um das Auffinden von Informationen zu erschweren. Ein Script wird zufällige Nummernkombinationen für den Namen des Rechnungsdokuments wie den Betreff erzeugen.
Die Dateien im Anhang heißen entsprechend „RECHNUNG-JAN-2015-040895.doc“ oder „RECHNUNG-JAN-2015-04957.doc“ usw. Würde man die DOC-Datei in Microsoft Word öffnen, wäre darin kein Inhalt enthalten. Vielmehr meldet sich die Software mit einer Fehlermeldung – in diesem Moment wurde auf Windows-Systemen mit älteren Word-Versionen bereits eine Sicherheitslücke ausgenutzt. Man sollte dann eine entsprechende Software zum Entfernen von Malware einsetzen.