Gefährliche E-Mail mit dem Betreff Steuerbescheid – N:955981

Heute im Posteingang eine unscheinbare E-Mail gehabt. Hinweis: Bitte nicht den Anhang öffnen und schon gar nicht den Inhalt aus der nachgeladenen ZIP-Datei ausführen!

Die E-Mail von „S. Hartmann aus Bad Gandersheim“

Der Betreff „Steuerbescheid – N:955981“.
Der Absender: „S. Hartmann“.
Auffällig die Absenderadresse: „prodaja@electronic.ba“.

Der Inhalt der E-Mail:

Sehr geehrte Kundin, sehr geehrter Kunde,

beigefügt sende ich Ihnen den Einkommensteuerbescheid für 2021. Ich gehe davon aus, dass Sie die Einkommensteuererklärung 2021 selbst erstellt haben.
In der Vollmachtsdatenbank habe ich die uns erteilte Zustellungsvollmacht gelöscht, sodass Sie den nächsten Bescheid direkt erhalten werden.

Mit freundlichen Grüßen

S. Hartmann
Steuerberaterin

Bismarckstr. 26
37581 Bad Gandersheim

Tel.: 05382 / 951219
Fax: 05382 / 951469

...

Als Anhang eine HTML-Datei namens "Bescheid_0000078635.html", die ich mir etwas angeschaut habe.

Screenshot von der E-Mail mit Anhang

Diese enthält lediglich eine Zeile JavaScript-Code mit einer Funktion atob(). Diese ist dafür da, eine verschlüsselte Zeichenkette aufzulösen, welche (nun) encodiert eine Website aufruft.

Achtung! Bitte nicht aufrufen
In diesem Fall wird aus „aHR0cHM6Ly9zZmVyYWdyb3VwLmdyL3dwLw==“ die Internetadresse https :// sferagroup . gr/wp/

Natürlich habe ich probiert, was mich dort erwartet.

Es startet sofort ein Download einer kleinen ZIP-Datei. Diese enthält entpackt erneut eine kleine JavaScript-Datei, welche als Trojaner mit der Bezeichnung js/trojandownloader.agent.zdf erkannt wurde (Link zu ESET Virus-Radar mit weiteren Erklärungen).

Laut dem Virus-Radar versucht dieser Trojaner weitere Malware aus dem Internet zu laden. Was auch immer dann diese Schadsoftware auf dem Rechner macht.

Steuerberaterin Hartmann aus 37581 Bad Gandersheim

Nach einer ersten Recherchen gibt es diese Person bzw. das Unternehmen an der angegebenen Adresse in Bad Gandersheim nicht. Hier wurden sicherlich einfach beliebige Kontaktdaten verwendet. Das wird auch bei der Telefonnummer und der des FAX nicht anders sein.

Gehackte WordPress-Seite dient zur Verbreitung des Trojaners

Die griechische Website sferagroup . gr wurde augenscheinlich gehackt und nun zur Verbreitung des Trojaners missbraucht. Das passiert immer wieder, das fremde Website für wenige Tage, Wochen oder gar Monate Opfer solcher Angriffe werden. Die Betreiber merken davon in der Regel nichts.

Screenshot der griechischen Website zum Thema Versicherung und Energie

Was tun, wenn man die Datei bereits geöffnet hatte?

An dieser Stelle ich gehe ich davon aus, dass Sie sich Schadsoftware in irgendeiner Form auf den Computer geholt haben. Was diese macht oder ob Sie deren Dasein überhaupt bemerken kann ich an dieser Stelle nicht beantworten.

Das kann vom Datendiebstal, über bloße Zerstörung oder die Nutzung Ihres Computers für Attacken auf andere Netzwerke alles sein.

Im ersten Schritt sollten Sie Ihr System überprüfen. Diese Anleitung zum Entfernen eines Browservirus kann Ihnen sicherlich hierbei helfen. Auch ein Online-Scan z. B. mit ESET ist hier ratsam.

Auch Firmennetzwerke können auf solch einen Weg sicherlich komprimiert werden. Hier sollten Sie umgehend fachliche Unterstützung zu Rate ziehen.


Bildnachweis Beitragsbild: @ AndreyPopov - Standardlizenz de.depositphotos.com

5/5 (11)

Konnten wir mit diesem Beitrag weiterhelfen?

Empfehlungen der Redaktion:
Für alle Entdeckerinnen und Entdecker

WhatsApp - optimal nutzen

Buchtipp: Die neueste Version 2021 erklärt alles Funktionen des Messenger-Dienstes. Jetzt WhatsApp komplett ausreizen.

Google als Startseite

Die am häufigsten genutzte Suchmaschine als Startseite im Browser einrichten und schneller die gesuchten Inhalte finden.

Diese Woche neu bei Tchibo

Tolle neue Sachen in den Themenwelten des Tchibo Online-Shops entdecken und sich oder anderen eine Freude bereiten.

Angebote bei QVC

Der TV-Kanal Nummer 1 in Deutschland ist natürlich auch im World Wide Web. Produkte aus den TV-Shows jetzt online entdecken.

Werbeanzeigen

Daniel

Über den Autor

Daniel Weihmann - Betreiber und Redakteur verschiedener Online-Plattformen wie Browserdoktor.de. Von 2004 bis 2014 als Systemadministrator verantwortlich für mehrere Linux-Server und kommunale Online-Lösungen. Heute selbstständiger Webdesigner, SEO und Online-Marketer in Köthen (Anhalt).

1 Gedanke zu „Gefährliche E-Mail mit dem Betreff Steuerbescheid – N:955981“

  1. Hallo Daniel,

    leider wurde ein Freund von mir auch Opfer von solch einem Angriff. Auch er hatte WordPress als CMS eingesetzt. Und bekanntlich hat WordPress – durch die vielen Plugings – immer wieder Sicherheitslücken.

    Antworten

Schreibe einen Kommentar