Fake-DHL-Mail mit unbekanntem Keylogger im Gepäck

[English]Zum Wochenstart noch eine kurze Warnung. Es sind wohl Phishing-Mails mit angeblichem DHL-Absender im Umlauf, die einen unbekanntem Keylogger als Anhang aufweisen.


Anzeige

Ich bin über einen Tweet einer britischen Webseite auf das Thema aufmerksam geworden. Da DHL als Absender genannt wird, dürften auch deutschsprachige Nutzer betroffen sein.

Die Fake-E-Mail, hier eine englischsprachige Fassung, stammt angeblich vom US-Ableger des DHL-Kurierdiensts und hat folgenden Inhalt:

From:  DHL EXPRESS mail[.]us[at]dhlcourier]us
Date:  Sun 08/09/2019 02:37
Subject: RE: DHL DELIVERY
Attachment: DHL_FORM.doc
Body content:

Dear Customer,

We tried to deliver your item to your address this morning 7th September, 2019. (See the attached file) .

The delivery attempt was unsuccessful because no one was present at the delivery address given to us, so the notification is automatically sent.

If the parcel is not scheduled for re-projection or receipt within 72 hours on weekdays, it will be returned to the sender.

Tag number: DB0011622801 / 17BA

Expected delivery date: September 7th, 2019

Packet Services

Agency (s): Delivery Confirmation
Status: Mission sent
Sender: Macy's Department Store Company
Your package has not been delivered.
Delivery Time: 08:57 AM
Number of Packages: 1
Weight: 5.0 LBS

Dear Customer

See attached form and correct your address.
We apologize and thank you for your confidence.

Thank you,

Customer Service DHL.
2019 © DHL International GmbH. All rights reserved.

Eine der üblichen Benachrichtigungen, wenn man eine Sendungszustellung verpasst hat? Aufmerken sollten Empfänger, weil ein Anhang dazu auffordert, über ein Formular die Adresse zu korrigieren. Hier der Screenshot der Mail:

Phishing-Mail (DHL)
(DHL-Phishing-Mail, Quelle: myonlinesecurity.co.uk, Zum Vergrößern klicken)

Alle in den E-Mails genannten angeblichen Absender, Unternehmen, Namen von Mitarbeitern, Telefonnummern, Mengen, Referenznummern usw. sind zufällig ausgewählt worden. Einziger Zweck: Vertrauenswürdigkeit herzustellen und den Nutzer zum Herunterladen der angehängten .doc- oder .xls-Datei zu verleiten. Die Word- oder Excel-Dateien sind mit einem Makroskript oder einem eingebetteten OLE-Objekt versehen, das den Nutzer bei Ausführung infiziert.

Die britische Webseite britische Webseite hier hält noch einige Details bereit. Die Malware wird von https[://]heritagebank[.ga]/Quotation[.}exe heruntergeladen. Die Webseite wird über Cloudflare ausgeliefert. Es ist wohl die Stamm-URL für eine echte Bank, die zu einer Phishing-Site mutiert ist. Die .exe-Datei enthält einen Keylogger für Windows.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Fake-DHL-Mail mit unbekanntem Keylogger im Gepäck

  1. Stefan sagt:

    Gibt es eigentlich auch Phishing Mails die heutzutage ohne .doc und .xls auskommen?
    Die habe ich in der Firma schon lange raussortiert, gibt im Header eine Nachricht an den Adressat das er bitte ein vernünftiges Format anfordern soll wenn die Email so erwartet wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.