Packstation App Manager Trojaner

„Von: DHL Paket [email protected]
Gesendet: Mittwoch, 3. Oktober 2018 22:05
An: [email protected]
Betreff: Ihre Packstation-Sendung liegt nur noch 2 Tage bereit
Guten Tag
Aufgrund des erfolglosen Zustellversuchs wurde das Paket unter der Nummer 00340434334058107863 zur Aufbewahrung an die Packstation 110 in Köln ausgeliefert.
Wenn Sie das Paket innerhalb von zwei Arbeitstagen nicht wegnehmen, wird es an den Absender zurückgeschickt.
WICHTIG: Um den Status des Pakets zu überwachen, die Adresse seiner Zustellung zu ändern oder seine Liegezeit auf der Packstation zu erweitern, müssen Sie eine persönliche TAN-Nummer in unserem System haben.
Um diese Nummer zu erhalten, müssen Sie unsere neueste Anwendung „Packstation App Manager“ installieren und sich dort registrieren. Sie können diese Anwendung direkt auf Ihre Handy herunterladen, indem Sie auf den folgenden Link klicken:
Beste Grüße Ihr DHL Team
Jetzt downloaden >
DHL Paket GmbH
Sträßchensweg 10
53113 Bonn
Registergericht Bonn
HRB 19565
USt-IdNr.: DE 813312787 Geschäftsführung:
Norman Chmiel
Dr. Achim Dünnwald
Martin Linde
Christian Metzner
Dr. Christian Schawel
Vorsitzender des
Aufsichtsrates: Uwe Brinks Website
Kontakt
Impressum
Datenschutz
© 2018 DHL“

Heute erhielt ich diese E-Mail. Der Download läd eine .APK Datei „DHL_Packstation_App_Manager1_nlhdavvhlq2d20qv3hgl1g81hub8h0y9o09q8jda_protected_180155.apk“ herunter. Diese Datei enthält die Schadsoftware.
Man kann leicht am Absender erkenen, dass dieser nichts mit DHL oder der Packstation zu tun hat.
Wie immer gilt: Ignorieren und Löschen!

trojaner computer

Erpressungstrojaner im Anhang: DHL-Paket-Lieferung fehlgeschlagen, Sendungverfolgungsnummer 056392024191

trojaner computer"Von: DHL Sendungsverfolgung [mailto:[email protected]]

Gesendet: Dienstag, 28. Juni 2016 12:47
An: [email protected]
Betreff: DHL-Paket-Lieferung fehlgeschlagen
Sehr geehrter Kunde,
die Lieferung für das Paket mit der Sendungverfolgungsnummer 056392024191 ist fehlgeschlagen.
Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.
Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.
Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
Mit freundlichen Grüßen,
DHL EXPRESS
Deutsche Post AG
Charles-de-Gaulle-Straße 20
PLZ/ Ort: 53113 Bonn"
Im Moment ist wieder einmal eine Welle mit Verschlüsselungstrojanern im Netz unterwegs. Aktuell handelt es sich wohl um eine modifizierte Variante von Locky, welche sich BART nennt. Nach einem Bericht von HEISE werden alle Dateien verschlüsselt und als .bart.zip Dateien gespeichert. Den Schlüssel zum Entpacken kann man dann für 300 – 1700 € bei den Erpressern kaufen.
Im Anhang der E-Mail befindet sich die Datei Sendung_056392024191.zip, welche aktuell nur von 6 der 53 Virenscannern auf Virustotal.com als Gefahr erkannt wird. In der ZIP Datei befinden sich die Dateien „Sendungsetikett_056392024191.pdf.js.js“ und „Sendungsinformationen_056392024191.pdf.js.js“.

Das sind natürlich keine Etiketten oder Informationen, sondern direkt ausführbare Java-1Scripte, welche den Trojaner downloaden und starten.
Wie immer gilt auch hier: Ignorieren und Löschen!

dhl sendungsmanager breaky 1

Trojaner in DHL E-Mail: Ihre Sendung ist auf dem Weg! Sendungsnummer: 9230428

dhl sendungsmanager breaky 1"Von: DHL [mailto:[email protected]

Gesendet: Mittwoch, 22. Juni 2016 23:26
An: [email protected]
Betreff: Ihre Sendung ist auf dem Weg!
Sehr geehrte/r mein Name,
die folgende Sendung an Sie, wurde soebend an uns übergeben.
Die Ausliegerung erfolgt voraussichtlich am 26.06.2016
Sendungsnummer: 9230428
Alle weiteren Informationen, wie Versender, Zoll Informationen und Auslierferungsstatus,
entnehmen Sie bitte über eine gesicherte Verbindung mit unserem neuen DHL Sendungsmanager.
Diesen können Sie hier herunterladen: Herunterladen"
Gerade erhielt ich diese E-Mail, welche angeblich von DHL stammt. Der Link führt direkt zum Download der Datei „DHL Sendungsmanager.exe“. Laut Virustotal (Erkennungsrate ist noch gering bei 6/54) enthält die Datei den „MSIL.Trojan.Kryptik.l“ Trojaner.
Auch hier gilt die Devise: Ignorieren und Löschen!

Nicht den Link anklicken und schon gar nicht die Datei ausführen!

Trojaner im Anhang: Paket angekommen.

„Von: DHL Paket [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 09:47
An: [email protected]
Betreff: Paket angekommen.
Guten Tag [email protected]
Ihr Paket id_61657147 ist empfangsbereit.
Diese e-mail ist eine Mitteilung für die Ankunft.
Lieferung durch den Absender gezahlt.
Die Hohe der Versicherungspaket € 1.670.
Um das Sendung zu bekommen , bitte drucken Sie das angehangte Dokument und prasentieren sie in einem Lagerhaus.
===
Herzliche Grüße
Ihr DHL Team
________________________________________
DHL Paket GmbH
Sträßchensweg 10
53113 Bonn

Registergericht Bonn
HRB 19565
USt-IdNr.: DE 813312787
Geschäftsführung:
Dr. Andrej Busch
Katja Herbst
Norman Chmiel
Heinrich Eilers
Dr. Thomas Ogilvie
Vorsitzender des Aufsichtsrates: Uwe Brinks © 2015 DHL“

In der angehängte ZIP-Datei befindet sich ein Javascript: DHL_ID_paket.js, welches vermutlich einen Trojaner, wo möglich sogar einen Kryto-Trojaner oder Erpressungs-Trojaner.
Grundsätzlich schickt DHL zwar Benachrichtigungen per E-Mail, aber immer ohne Anhang.
E-Mail also löschen und keinesfalls öffnen. Nicht alle Virenscanner erkennen Ransomware in Javascripten.

Verschiedene Scanner erkennen verschiedene Schädlinge:
ClamAV: Suspect.Bredozip-zippwd-2
Cyren: JS/Downldr.DB
ESET-NOD32: JS/TrojanDownloader.Agent.OEC
F-Prot: JS/Downldr.DB
TrendMicro: Possible_SCRDL
TrendMicro-HouseCall: Possible_SCRDL

Packstation Phishing: Bestdtigen Sie Ihren Account

"Von: Packstation [mailto:[email protected]

Gesendet: Dienstag, 15. September 2015 10:52
An: [email protected]
Cc: [email protected]
Betreff: Bestdtigen Sie Ihren Account
Sehr geehrter Packstation-Kunde,15.09.2015
wir mussten feststellen, dass Sie bisher Ihre E-Mail-Adresse: [email protected] nicht bestätigt haben.
Um weiterhin Ihre Packstation nutzen zu können, ist die Bestätigung Ihre E-Mail-Adresse notwendig!
Kommen Sie dieser Bitte innerhalb 14 Werktagen nicht nach, wird Ihre Packstation endgültig gesperrt und Sie müssen das Registrationsverfahren erneut durchlaufen.
Jetzt bestätigen (hier anklicken)
Mit freundlichen Grüßen
Ihr DHL Team
________________________________________
Paket.de – Ihr Weg zum individuellen Paketempfang und Versand.
________________________________________
Website Kontakt Impressum
© 2015 DHL"

Auch wenn es hier um die Packstation geht, auch das ist Phishing. Der Link führt zu h**p://info-packstation.com/. Einfach ignorieren und Löschen! Nicht klicken!

DHL Mail mit Virus Download: „Ihr Paket zu der Postsendung 73289084762“

"Von: DHL.de [mailto:[email protected]

Gesendet: Mittwoch, 27. Mai 2015 13:48
An: [email protected]
Betreff: Ihr Paket zu der Postsendung 73289084762
Die Email enthält keinen Text nur ein PDF mit folgendem Inhalt:

Geschätzte Kundin, geschätzter Kunde,
die Sendung mit der Nummer 425627074665 wurde an DHL übergeben. Zustellung ist voraussichtlich am
Mittwoch, den 27.05., Zeitfester 13:00 und 16:30 Uhr.
h**ps://www.paket.de/pkp/appmanager/pkp/desktop?nfpb&sendungsnummer=425627074665.
(Adobe PDF Format)
Mit besten Grüßen,
Ihrem DHL-Team"

 

Das sieht interessant aus, ist aber natürlich absoluter Blödsinn. DHL schickt zwar Benachrichtigungen per Mail, aber nicht mit PDF Anhang.
Der Link im PDF hinter der URL wird intern zu h**t://www.crowntvbox.com/LrDw5p2AS umgebogen.
PDF nicht öffen, Mail löschen.