HSBC Email Virus
Verfasst von Tomas Meskauskas am (aktualisiert)
Was ist HSBC Email Virus?
"HSBC Email Virus" ist eine weiter Spam-E-Mail-Kampagne, die ADP Invoice, Barclays Secured Message, Sage Invoice und vielen anderen ähnlich ist. Diese Kampagne wurde entwickelt, um einen trojanerartigen Virus namens TrickBot zu verbreiten.
Die E-Mails besagen im Wesentlichen, dass eine Zahlung nicht bearbeitet wurde und ermutigen die Benutzer, ein angehängtes MS Word-Dokument für weitere Informationen zu öffnen. Dies ist ein Betrug - einmal geöffnet, lädt die Anlage heimlich Malware herunter und installiert sie.
Erstens ist HSBC eine der größten Banken der Welt und hat mit dieser Spam-Kampagne nichts zu tun. Cyberkriminelle verstecken sich einfach hinter dem Namen, um ahnungslose Benutzer dazu zu bringen, den Anhang zu öffnen.
Wie bereits erwähnt, besagt die E-Mail, dass eine Zahlung nicht bearbeitet werden kann, und ermutigt den Benutzer, das angehängte Dokument zu öffnen und eine Reihe von Schritten zur Lösung dieses Problems durchzuführen. Wie ich bereits erwähnte, ist dies ein Betrug.
Cyberkriminelle verwenden die Namen von legitimen Unternehmen und Regierungsbehörden, da es viel einfacher ist, Benutzer dazu zu bringen, Dateien zu öffnen, die von Personen oder Unternehmen mit bekannten Namen (in diesem Fall einer großen Bank) erhalten wurden. TrickBot ist ein sehr gefährlicher Virus.
Nach der Infiltration des Systems werden Browser entführt und besuchte Websites so modifiziert, dass eingegebene Anmeldedaten/Passwörter an einen von den Entwicklern von TrickBot kontrollierten Fernserver gesendet werden. Daher könnten Cyberkriminelle Zugang zu den Privatkonten der Nutzer erhalten, einschließlich sozialer Netzwerke, Banken und so weiter.
Cyberkriminelle haben das Ziel, so viel Umsatz wie möglich zu generieren, und so ist es sehr wahrscheinlich, dass diese Personen die erhaltenen Informationen nutzen werden. Daher kann das Vorhandensein von TrickBot-Malware zu schwerwiegenden Datenschutzproblemen und erheblichen finanziellen Verlusten führen.
Wenn Sie kürzlich Anhänge geöffnet haben, die über eine Spam-Kampagne "HSBC Email Virus" verteilt wurden, sollten Sie das System sofort mit einer legitimen Antiviren-/Anti-Spyware-Suite scannen und alle erkannten Bedrohungen beseitigen.
| Name | HSBC bank virus |
| Art der Bedrohung | Trojaner, Passwort-stehlender Virus, Banking-Malware, Sypware |
| Symptome | Trojaner wurden entwickelt, um den Computer des Opfers heimlich zu infiltrieren und sich ruhig zu verhalten, so dass auf einem infizierten Computer keine besonderen Symptome deutlich sichtbar sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-Cracks. |
| Schaden | Gestohlene Bankdaten, Passwörter, Identitätsdiebstahl, Computer des Opfers wird einem Botnetz hinzugefügt. |
| Entfernung | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Es gibt viele trojanerartige Viren, die TrickBot ähnlich sind (einschließlich zum Beispiel: LokiBot, Emotet, Adwind und FormBook). Wie beim HSBC-E-Mail-Virus werden auch diese Viren über Spam-E-Mail-Kampagnen verbreitet. Darüber hinaus sind die meisten Trojaner so konzipiert, dass sie personenbezogene Daten erfassen.
Einige vermehren jedoch andere Viren (gewöhnlich Ransomware). In jedem Fall stellen alle eine direkte Bedrohung für Ihre Privatsphäre und die Sicherheit beim Surfen dar.
Wie hat HSBC Email Virus meinen Computer infiziert?
Wie bereits erwähnt, verteilt "HSBC Email Virus" ein bösartiges MS Word Dokument. Nach dem Öffnen dieser Datei wird den Benutzern empfohlen, Makrobefehle zu aktivieren (sonst wird der Inhalt nicht richtig angezeigt), aber das ist ein Trick - durch das Aktivieren von Makros erlauben die Benutzer dem Dokument, Befehle auszuführen, die TrickBot heimlich herunterladen und installieren.
Diese Verbreitungsmethode hat jedoch einen großen Fehler - Dokumente können Malware nur dann herunterladen, wenn der Benutzer sie mit dem MS Word-Programm öffnet. Wenn die Datei daher mit einer anderen App geöffnet wird, wird keine Malware heruntergeladen.
Außerdem zielt TrickBot nur auf das Microsoft Windows Betriebssystem ab - wenn Sie eine andere Plattform verwenden, sind Sie sicher.
Wie kann man die Installation von Malware vermeiden?
Mangelndes Wissen und unvorsichtiges Verhalten sind die Hauptgründe für Computerinfektionen - der Schlüssel zur Sicherheit ist Vorsicht. Daher ist es sehr wichtig, beim Surfen im Internet genau hinzuschauen.
Denken Sie vor dem Öffnen von E-Mail-Anhängen genau nach. Wenn die Datei irrelevant erscheint oder von einer verdächtigen E-Mail-Adresse empfangen wurde, sollte sie niemals geöffnet werden.
2010 und neuere MS Office-Versionen werden entwickelt, um neue Dokumente im Modus "Geschützte Ansicht" zu öffnen. Dadurch wird das Herunterladen und Installieren von Malware verhindert.
Daher ist die Verwendung alter Versionen riskant. Wir empfehlen Ihnen außerdem dringend, eine seriöse Antiviren-/Anti-Spyware-Suite installiert und ausgeführt zu haben.
Wenn Sie den Anhang "HSBC Email Virus" bereits geöffnet haben, empfehlen wir Ihnen, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Text, der in der E-Mail-Nachricht "HSBC Email Virus" präsentiert wird:
Betreff: Wichtig: Probleme bei der Verarbeitung von BACs Zahlungen
Guten Morgen,
Wir haben Probleme bei der Bearbeitung Ihrer Anfrage, wir sind auf einen Fehler bei der Verarbeitung Ihrer BACs-Zahlung gestoßen.
Das müssen Sie tun
1. Die Dokumente werden per sicherer E-Mail über eine angehängte Datei von HSBC zugestellt. Bitte beachten Sie, dass diese möglicherweise in den Spam-Ordner verschoben wird.
2. Wenn Sie das Dokument öffnen, erscheint eine Meldung, dass das Dokument eine telefonische Überprüfung erfordert. Wenn Sie auf die Schaltfläche "Code senden" klicken, wird ein Code an Ihr Mobiltelefon gesendet.
3. Geben Sie diesen Code in das Feld „Code“ auf dem Bildschirm ein und wählen Sie OK. Sie können nun die Felder im Dokument wie gewünscht ausfüllen.
4. Bitte beachten Sie, dass die von Ihnen hochgeladene Signatur eine klare, aktuelle Version Ihrer Standard-Signatur sein muss, die nach dem Hinzufügen zum Bankmandat verwendet werden kann, um Kontobewegungen wie die Auszahlung von Geldern zu genehmigen.
5. Bitte stellen Sie beim Ausfüllen des Formulars sicher, dass vollständige Namen inklusive Vornamen enthalten sind.
6. Wenn der letzte Unterzeichner die Dokumente ausgefüllt und unterzeichnet hat, werden sie mir per sicherer E-Mail zurückgeschickt.
Hochachtungsvoll
James Holand
Transaction Processing Specialist | Operations BACs, Faster Payments, CDD | Email: James.Holand@hsbc.co.uk
Bösartiger Anhang, der über die Spam-Kampagne "HSBC Email Virus" verbreitet wird:
Zweite Variante des "HSBC Email Virus":
Text, der in dieser E-Mail angezeigt wird:
Betreff: Eingehende hochwertige CHAPS-Zahlungen
Guten Morgen,
Wir haben heute 2 hochwertige CHAPS-Zahlungsanträge in der Filiale erhalten.
Bitte füllen Sie die beigefügten Dokumente aus und unterschreiben Sie sie und senden Sie sie zur Bearbeitung zurück.
Wir benötigen diese Informationen, bevor wir die Zahlungen auf Ihr Konto freigeben können.
Danke,
Olivia Brown BA (Hons) Cert (RBCB)
Business Banking and Wealth Management
HSBC BANK PLC HBEU
18 North Street, Leatherhead, Surrey KT22 7AR. South Region.
___________________________________________________________
Telefon 08455928172
E-Mail: Olivia.Brown@hsbcemail.net
************************************************************
HSBC Bank plc
Eingetragener Firmensitz: 8 Canada Square, London E14 5HQ
Eingetragen in England - Nummer 14259
Autorisiert von der Prudential Regulation Authority und reguliert durch die
Financial Conduct Authority und die Prudential Regulation Authority.
************************************************************
Diese E-Mail ist vertraulich
Sie kann auch rechtlich geschützt sein. Wenn Sie nicht der Adressat sind, dürfen Sie keinen Teil davon kopieren, weiterleiten, offenlegen oder verwenden. Wenn Sie diese Nachricht versehentlich erhalten haben, löschen Sie sie bitte mit allen Kopien aus Ihrem System und benachrichtigen Sie den Absender umgehend per E-Mail.
Die Internetkommunikation kann nicht als zeitnah sicher, fehler- oder virenfrei garantiert werden. Der Absender übernimmt keine Haftung für Fehler oder Auslassungen.
Screenshot des bösartigen Anhangs, der sich mit der zweiten Variante des "HSBC Email Virus" verbreitete:
Dritte Variante des "HSBC Email Virus":
Text, der in dieser E-Mail angezeigt wird:
Betreff: Kontoprüfung
Kontoprüfung
Sehr geehrte Damen und HerrenDie Kontoüberprüfungsdateien wurden auf Wunsch unseres Kunden erstellt, bitte laden Sie sie von dem untenstehenden Link herunter:
hxxps://hsbcdocuments.net/.............
Ihre Dokumente wurden mit der stärksten Verschlüsselung und einem eindeutigen Schlüssel verschlüsselt, bitte drucken und unterschreiben Sie das angehängte Dokument.
Hochachtungsvoll,
Global Payment and Cash Management
HSBC
Screenshot des bösartigen Anhangs, der sich mit der dritten Variante des "HSBC Email Virus" verbreitete:
Noch eine weitere Variante der HSBC E-Mail-Spam-Kampagne:
Text, der in dieser E-Mail angezeigt wird:
Guten Tag, unsere Referenz: WA3AEMIDLGB31.
Sie finden eine beiliegende Kopie der Zahlung, die im Namen unseres Kunden auf Ihr Firmenkonto bei Ihrer Empfängerbank vom 10.04.2019 eingeht. Bitte bestätigen Sie die Zahlungs- und Kundenreferenzdetails aus der Swift-Kopie und informieren Sie uns entsprechend.
Wir erwarten Ihre Bestätigung
Mit freundlichen Grüßen,
David Wong Funds Transfer Dept., Business Banking, Eastern District, Commercial Banking The Hongkong and Shanghai Banking Corporation Limited (1-1SBC 14/F, Causeway Bay Plaza Two, 463-483 Lockhart Road, Causeway Bay, Hong Kong. Email: customerserviceeOhsbcpcom.hk web: hxxps://www.hsbc.com.hk
Screenshot des bösartigen Microsoft Excel Anhangs ("Paymentreceipt.xlsx"):
Noch eine weitere Variante der HSBC E-Mail-Spam-Kampagne: Diese Variante verbreitet den NanoCore Fernzugriff-Trojaner und der Anhang ist "swift_274456.iso", welcher die Datei "swift_274456.exe" enthält.
Screenshot der betrügerischen E-Mail:
Text, der in dieser E-Mail angezeigt wird:
Grüße.. Die beigefügte Zahlungsanzeige wird auf Wunsch unseres Kunden ausgestellt. Bitte bestätigen Sie den Swift-Code/Kontostelle Ihrer Bank,
wir haben in letzter Zeit versucht, dieses Geld an Sie zu senden, aber es ist immer wieder zurückgegangen.
Diese Referenz dient nur zu Ihrer Information**
Hochachtungsvoll,Global Payment and Cash Management
HSBC UK
Skype: rick.tev2
BITTE BEACHTEN SIE, dass dies keine automatisch generierte E-Mail ist. In Erwartung Ihrer dringenden Antwort, um erneut vorzugehen.
Sicherheitstipps1. Installieren Sie eine Virenerkennungssoftware und eine persönliche Firewall auf Ihrem Computer. Diese Software muss regelmäßig aktualisiert werden, um sicherzustellen, dass Sie über den neuesten Schutz verfügen.
2. Um Viren oder andere unerwünschte Probleme zu vermeiden, öffnen Sie keine Anhänge aus unbekannten oder nicht vertrauenswürdigen Quellen.
3. Wenn Sie eine ungewöhnliche Aktivität entdecken, kontaktieren Sie bitte so schnell wie möglich den Überweiser dieser Zahlung.
| Name | swift_274456.iso |
| Art der Bedrohung | Fernzugriff-Trojaner, Passwortdiebstahl Virus, Bankmalware, Spyware |
| Verbreitungsnamen | Antiy-AVL (Trojan[Dropper]/Win32.Sysn), McAfee (Artemis!9585B363E418), Microsoft (Trojan:Win32/Sonbokli.A!cl), Tencent (Win32.Trojan.Autoit.Auto), Vollständige Liste (VirusTotal) |
| Nutzlast | NanoCore RAT |
| Symptome | Trojaner werden entwickelt, um den Computer des Opfers heimlich zu infiltrieren und sich ruhig zu verhalten, so dass auf einem infizierten Computer keine besonderen Symptome deutlich sichtbar sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-Cracks. |
| Schaden | Gestohlene Bankdaten, Passwörter, Identitätsdiebstahl, Computer des Opfers wird einem Botnetz hinzugefügt. |
| Entfernung | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist HSBC Email Virus?
- SCHRITT 1. Manuelle Entfernung von TrickBot Malware.
- SCHRITT 2. Prüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung einer Bedrohung ist ein komplizierter Prozess und es ist gewöhnlich besser, wenn Antivirus- oder Anti-Malware-Programme es automatisch machen. Um diese Malware zu entfernen, empfehlen wir Combo Cleaner zu verwenden. Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware identifizieren, die Sie entfernen möchten. Hier ist ein Beispiel eines verdächtigen Programms, das auf dem Computer eines Benutzers ausgeführt wird:
Wenn Sie die Liste von Programmen geprüft haben, die auf Ihrem Computer laufen, zum Beipiel mit dem Task-Manager, und ein Programm identifiziert haben, das verdächtig aussieht, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Auto-Start Anwendungen, Register und Dateisystem Standorte.
Starten Sie Ihren Computer im abgesicherten Modus:
Windows XP und Windows 7 Nutzer: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf OK. Während Ihr Computer neu startet, drücken Sie die F8 Taste auf Ihrer Tastatur mehrmals bis Sie das Windows Erweiterte Optionen Menü sehen. Wählen Sie dann Abgesicherter Modus mit Netzwerktreibern aus der Liste.
Das Video zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerktreibern" startet:
Windows 8 Nutzer: Gehen Sie auf den Windows 8 Startbildschirm, geben Sie Erweitert ein und wählen Sie Einstellungen in den Suchergebnissen aus. Klicken Sie auf Erweiterte Startoptionen, wählen Sie Erweiterten Start im geöffneten "Allgemeine PC Einstellungen" Fenster. Ihr Computer wird jetzt in das "Erweiterte Startoptionen Menü" starten. Klicken Sie auf das "Problembehandlung" Feld, dann klicken Sie auf "Erweiterte Optionen". Auf dem erweiterte Optionen Bildschirm, klicken Sie auf "Starteinstellungen". Klicken Sie auf "Neustart". Ihr PC wird in den Starteinstellungen Bildschirm starten. Drücken Sie "5" um im Abgesicherten Modus mit Netzwerktreibern zu starten.
Das Video zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerktreibern" startet:
Windows 10 Nutzer: Klicken Sie auf das Windows Logo und wählen Sie die Power Schaltfläche. Im geöffneten Menü klicken Sie auf "Neu starten", während Sie die "Umschalttaste" auf Ihrer Tastatur gedrück halten. Im "Eine Option wählen" Fenster klicken Sie auf "Fehlerdiagnose", wählen Sie dann "Erweiterte Optionen". Im erweiterte Optionen Menü, wählen Sie "Starteinstellungen" und klicken Sie auf das "Neu starten" Feld. Im folgenden Fenster sollten Sie die "F5" Taste Ihrer Tastatur drücken. Das wird Ihr Betriebssystem im Abgesicherten Modus mit Netzwerktreibern neu starten.
Das Video zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerktreibern" startet:
Extrahieren Sie das Download-Archiv und führen Sie Die Datei Autoruns.exe aus.
In der Anwendung Autoruns, klicken Sie auf "Optionen" oben und entfernen Sie das Häkchen bei den Optionen "Leere Standorte entfernen" und "Windowseinträge verstecken". Nach diesem Prozess, klicken Sie auf das Symbol "Aktualisieren".
Prüfen Sie die Liste der Autoruns Anwendung und finden Sie die Malware Datei, die Sie entfernen möchten.
Sie sollten ihren vollständigen Pfad und Namen aufschreiben. Beachten Sie, dass einige Malware ihre Prozessnamen und legitimen Prozessnamen von Windows versteckt. Jetzt ist es sehr wichtig, dass Sie keine Systemdateien entfernen. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, machen Sie einen Rechtsklick über den Namen und wählen Sie "Löschen".
Nachdem die Malware durch die Autoruns Anwendung entfernt wurde (dies stellt sicher, dass die Malware sich beim nächsten Hochfahren des Systems nicht automatisch ausführt), sollten Sie nach dem Namen der Malware auf Ihrem Computer suchen. Stellen Sie sicher, dass Sie alle versteckten Dateien und Ordner aktivieren bevor Sie fortfahren. Wenn Sie die Datei oder Malware gefunden haben, entfernen Sie diese.
Starten Sie Ihren Computer in normalen Modus. Die Befolgung dieser Schritte sollte beim Entfernen jeglicher Malware von Ihrem Computer helfen. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschritten Computerfähigkeiten voraussezt. Es wird empfohlen, die Entfernung von Malware Antivirus- und Anti-Malware-Programmen zu überlassen. Diese Schritte könnten bei fortgeschrittenen Malwareinfektionen nicht funktionieren. Es ist wie immer besser, eine Infektion zu vermeiden, anstatt zu versuchen, Malware danch zu entfernen. Um Ihren Computer sicher zu halten, stellen Sie sicher, dass Sie die neuesten Updates des Betriebssystems installieren und Antivirus-Software benutzen.
Um sicher zu sein, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir einen Scan mit Combo Cleaner.
Ausgezeichnet!
▼ Diskussion einblenden