„Neu Paket ist angekommen!“: SPAM-Mail mit Malware
Alexander Trust, den 1. Februar 2016
Aktuell werden E-Mails mit dem Betreff „Neu Paket ist angekommen!“ vom vermeintlichen Absender „DHL Paket“ verschickt. Im Anhang befindet sich jedoch Malware, die Windows-Computer infiziert.
Gefälschte Paket-Meldung
In der E-Mail heißt es unter anderem „Ihr Paket id_66433777 ist empfangsbereit.“ Es soll auch über den Betreff „Neu Paket ist angekommen!“ suggeriert werden, dass den Nutzer eine Paketbenachrichtigung erwartet.
Tatsächlich ist schon der Betreff grammatikalisch falsch formuliert. Eigentlich müsste es korrekterweise „Neues Paket ist angekommen!“ heißen. Die zitierte Paketnummer entspricht zudem nicht dem Schema, das die DHL für ihre Pakete nutzt.
Auf den ersten Blick zu entlarven
Doch die E-Mail bietet noch weitere Rechtschreib- und Grammatik-Fehler im Inhalt, die sie auf den ersten Blick als SPAM entlarven.
„Guten Tag XXX,
Ihr Paket id_66433777 ist empfangsbereit.
Diese e-mail (!sic) ist eine Mitteilung für die Ankunft (!sic).
Lieferung durch den Absender gezahlt (!sic).
Die Hohe (!sic) der Versicherungspaket € 1.355 (!sic).
Um das Sendung (!sic) zu bekommen , (!sic) bitte drucken Sie das angehangte (!sic) Dokument und prasentieren (!sic) sie in einem Lagerhaus. (!sic)
===
Herzliche Grüße
Ihr DHL Team“
SPAM
Der Absender der E-Mail wurde als paket@dhl.de gefälscht. Tatsächlich wurde die E-Mail über einen Server von ehostingservices.net mit der IP 209.50.248.77 verschickt. Diese stammt aus den USA. Es ist jedoch davon auszugehen, dass auf dem entsprechenden Server lediglich Malware enthalten war.
Malware im Anhang
Im Anhang der E-Mail ist ein ZIP-Archiv mit dem Namen „invoice_id687961273.zip“. Der Name suggeriert, das es sich um eine Rechnung handelt. Das ZIP-Archiv sollte man jedoch nicht öffnen. Darin enthalten ist eine gleichnamige Javascript-Datei „invoice_id687961273.js“ mit einer Funktion namens aVehPusmu(). Es könnte sich dabei um einen Keylogger handeln, der Eingaben im Web-Browser aufzeichnet und an einen fremden Server sendet oder aber eine Phishing-Webseite öffnet.