[English]Zum Wochenstart noch eine kurze Warnung. Es sind wohl Phishing-Mails mit angeblichem DHL-Absender im Umlauf, die einen unbekanntem Keylogger als Anhang aufweisen.
Anzeige
Ich bin über einen Tweet einer britischen Webseite auf das Thema aufmerksam geworden. Da DHL als Absender genannt wird, dürften auch deutschsprachige Nutzer betroffen sein.
Fake DHL email delivers an unknown keylogger coupled with a phishing scam https://t.co/mDZGFUg4iz pic.twitter.com/C0FRo6hB4e
— My Online Security (@dvk01uk) September 8, 2019
Die Fake-E-Mail, hier eine englischsprachige Fassung, stammt angeblich vom US-Ableger des DHL-Kurierdiensts und hat folgenden Inhalt:
From: DHL EXPRESS mail[.]us[at]dhlcourier]us
Date: Sun 08/09/2019 02:37
Subject: RE: DHL DELIVERY
Attachment: DHL_FORM.doc
Body content:Dear Customer,
We tried to deliver your item to your address this morning 7th September, 2019. (See the attached file) .
The delivery attempt was unsuccessful because no one was present at the delivery address given to us, so the notification is automatically sent.
If the parcel is not scheduled for re-projection or receipt within 72 hours on weekdays, it will be returned to the sender.
Tag number: DB0011622801 / 17BA
Expected delivery date: September 7th, 2019
Packet Services
Agency (s): Delivery Confirmation
Status: Mission sent
Sender: Macy's Department Store Company
Your package has not been delivered.
Delivery Time: 08:57 AM
Number of Packages: 1
Weight: 5.0 LBSDear Customer
See attached form and correct your address.
We apologize and thank you for your confidence.Thank you,
Customer Service DHL.
2019 © DHL International GmbH. All rights reserved.
Eine der üblichen Benachrichtigungen, wenn man eine Sendungszustellung verpasst hat? Aufmerken sollten Empfänger, weil ein Anhang dazu auffordert, über ein Formular die Adresse zu korrigieren. Hier der Screenshot der Mail:
Anzeige
(DHL-Phishing-Mail, Quelle: myonlinesecurity.co.uk, Zum Vergrößern klicken)
Alle in den E-Mails genannten angeblichen Absender, Unternehmen, Namen von Mitarbeitern, Telefonnummern, Mengen, Referenznummern usw. sind zufällig ausgewählt worden. Einziger Zweck: Vertrauenswürdigkeit herzustellen und den Nutzer zum Herunterladen der angehängten .doc- oder .xls-Datei zu verleiten. Die Word- oder Excel-Dateien sind mit einem Makroskript oder einem eingebetteten OLE-Objekt versehen, das den Nutzer bei Ausführung infiziert.
Die britische Webseite britische Webseite hier hält noch einige Details bereit. Die Malware wird von https[://]heritagebank[.ga]/Quotation[.}exe heruntergeladen. Die Webseite wird über Cloudflare ausgeliefert. Es ist wohl die Stamm-URL für eine echte Bank, die zu einer Phishing-Site mutiert ist. Die .exe-Datei enthält einen Keylogger für Windows.
Anzeige
Gibt es eigentlich auch Phishing Mails die heutzutage ohne .doc und .xls auskommen?
Die habe ich in der Firma schon lange raussortiert, gibt im Header eine Nachricht an den Adressat das er bitte ein vernünftiges Format anfordern soll wenn die Email so erwartet wurde.