E-mail met factuur (Spam)

Wat is Invoice Email virus?

"Invoice Email Virus" (ook bekend als "Outstanding Invoice Email Virus") is een malspam-campagne die wordt gebruikt om een trojan met een hoog risico, TrickBot genaamd, te verspreiden. Deze campagne vertoont veel overeenkomsten met een aantal andere spamcampagnes, zoals (bijvoorbeeld) eFax, Important Documents IRS, en vooral HM Revenue & Customs Outstanding Amount.

De tekst in deze e-mails kan verschillen, ook al is het afgeleverde bericht in wezen identiek: de gebruiker heeft zogenaamd een factuur ontvangen (via een MS Word bijlage) en moet betalen. Wees er echter van bewust dat het bijgevoegde bestand kwaadaardig is en ontworpen om TrickBot malware te downloaden en te installeren.

Invoice email virus in detail

Zoals gezegd, wordt in de e-mailberichten vermeld dat er geen betalingen zijn ingediend en worden gebruikers aangemoedigd de MS Word-bijlage, die een factuur bevat, te openen. Dit is oplichterij. Cybercriminelen proberen goedgelovige gebruikers te verleiden tot het openen van een kwaadaardig bestand dat het systeem infecteert.

De tekst in de e-mails van de "Invoice Email Virus"-campagne kan variëren, omdat cybercriminelen verschillende webdomeinen en e-mailadressen registreren met de namen van legitieme bedrijven en overheidsdiensten. Deze URL's/e-mailadressen worden vervolgens gebruikt om spam te versturen - het is gemakkelijker om de indruk van legitimiteit te wekken wanneer de afzender bekend is bij de gebruiker.

Wees u ervan bewust dat TrickBot malware is met een hoog risico. Het kaapt webbrowsers en verzamelt verschillende logins/wachtwoorden. De verzamelde gegevens worden naar een externe server gestuurd die door cybercriminelen wordt beheerd. Deze kunnen gevoelige informatie ontvangen (criminelen kunnen bijvoorbeeld toegang krijgen tot sociale netwerken, bankrekeningen, enzovoort van gebruikers).

De aanwezigheid van deze malware kan leiden tot aanzienlijk financieel verlies of zelfs identiteitsdiefstal. Daarom kan het traceren van gegevens leiden tot ernstige privacyproblemen of zelfs identiteitsdiefstal.

Als u e-mails/bijlagen hebt geopend die behoren tot een "Invoice Email Virus" spam campagne, moet u het systeem onmiddellijk scannen met een betrouwbare anti-virus/anti-spyware suite en alle gedetecteerde bedreigingen verwijderen.

Overzicht bedreiging:

Naam	De TrickBot trojan
Type bedreiging	Trojan, Password stealing virus, Banking malware, Spyware
Symptomen	Trojans zijn ontworpen om stiekem te infiltreren in de computer van het slachtoffer en stil te blijven zodat er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine.
Verspreidingsmethodes	Geïnfecteerde e-mailbijlagen, kwaadaardige online advertenties, social engineering, softwarekraken.
Schade	Gestolen bankgegevens, paswoorden, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet.
Malware verwijderen (Windows)	Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. ▼ Combo Cleaner voor Windows Downloaden Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.

Gelijkenissen met andere Trojans

TrickBot is vrijwel identiek aan tientallen andere trojans, zoals Pony, Adwind, FormBook en vele andere. Net als TrickBot worden ook deze virussen verspreid via spamcampagnes. Bovendien is hun gedrag ook zeer vergelijkbaar - ze verzamelen allemaal gegevens.

Sommige trojans zijn ook ontworpen om andere virussen te verspreiden (meestal ransomware). Daarom vormen deze virussen een directe bedreiging voor uw privacy en veiligheid bij het surfen op internet.

Hoe heeft Invoice Email virus mijn computer geïnfecteerd?

"Invoice Email virus" komt samen met kwaadaardige MS Word-bijlagen die als facturen worden gepresenteerd. Na het openen van deze bestanden worden gebruikers gevraagd om macro-opdrachten in te schakelen, anders wordt de inhoud niet goed weergegeven. Door dit te doen, geven gebruikers echter toestemming om de bijlagen scripts te laten uitvoeren die stiekem malware downloaden/installeren.

Merk op dat dit alleen werkt als de bijlage wordt geopend met het programma MS Word. Als het bestand wordt geopend met andere software die deze formaten kan lezen, zullen de scripts niet worden uitgevoerd. Bovendien is de malware alleen gericht op het Windows-besturingssysteem en zijn gebruikers die andere platforms gebruiken dus veilig.

Hoe voorkom ik de installatie van malware?

De belangrijkste redenen voor computerinfecties zijn gebrekkige kennis en onzorgvuldig gedrag. Let daarom goed op bij het surfen op Internet. Denk twee keer na voordat u e-mailbijlagen opent. Als het bestand irrelevant lijkt of is ontvangen van een verdachte/onherkenbare e-mail, moet het nooit worden geopend - deze e-mails moeten worden verwijderd zonder te lezen.

Verder worden sommige trojans verspreid via de "bundeling" methode (stiekem installatie van malafide apps samen met reguliere software), en nep updaters. Wees daarom voorzichtig bij het downloaden/installeren/updaten van software. Analyseer zorgvuldig elk venster van de download/installatie dialoogvensters en meld u af voor alle extra inbegrepen programma's.

Programma's mogen alleen van officiële bronnen worden gedownload via directe downloadlinks. Houd geïnstalleerde toepassingen bovendien up-to-date. Gebruik om dit te bereiken alleen geïmplementeerde functies of hulpmiddelen die door de officiële ontwikkelaar worden geleverd. We raden u ook ten zeerste aan om een legitiem anti-virus/anti-spyware pakket geïnstalleerd en actief te hebben.

Recentere versies (2010 en hoger) van MS Office openen nieuw gedownloade bestanden in "Beschermde weergave", waardoor wordt voorkomen dat kwaadaardige bijlagen malware kunnen downloaden/installeren. Daarom wordt u sterk aangeraden om het gebruik van oude versies te vermijden. De sleutel tot computerveiligheid is voorzichtigheid.

Als u de kwaadaardige bijlage al hebt geopend, raden wij u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.

Voorbeelden van berichten die in verschillende varianten van deze kwaadaardige e-mailberichten worden gepresenteerd:

Subject: RE: Outstanding INVOICE BIA/066250/5423
The invoices came to us very late. Both are enclosed in attachement.
hxxp://www.perezdearceycia.cl/
alexa.ballantine@gmail.com

 

------------------------------------------------------

Subject: INCORRECT INVOICE
We are waiting for the confirmation from your side so that we can send you the Invoice & Credit card link to process the payment and start the services. If you have any queries, please feel free to contact us. We hope for a positive reply.
hxxp://cqfsbj.cn/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Jamacapq@sbcglobal.net

 

------------------------------------------------------

 

Subject: Outstanding INVOICE XOJR/7763411/6403
We have not received payment or an update on when the overdue invoices will be paid. Our payment terms are strictly 30 days. Please let me know when these invoices will be paid. Please see below the list of overdue invoices:
hxxp://minami.com.tw/
Regards
Priyanka Kapadia

 

------------------------------------------------------

Subject: Outstanding INVOICE FQOVN/2773110/730
Please see below the list of overdue invoices, of which 223.00 euro is due since last month. Can you please advise when payment will be made.
hxxp://www.legionofboomfireworks.com/
This message is confidential and/or contains legally privileged information. It is intended for the addressees only.
Thanks
Kira Holden

 

------------------------------------------------------

Subject: Invoice Number 55057
Last one year we started to charge for CRB check. They pay us first and we apply for CRB. =0DI do not have invoices.
hxxp://www.caglarturizm.com.tr/
Kind Regards,
andy

 

------------------------------------------------------

Subject: Final Account
Please find attached your confirmation documents. What you need to do Urgently Print off, sign and scan/send back the full proposal form within 7 days
hxxp://www.jxprint.ru/
Many Thanks
CYNTHIA HARRY

Kwaadaardige bijlage verspreid via "Invoice Email SPAM" campagne:

Voorbeeld van weer een spam e-mail met een factuur als thema, afgeleverd in het Portugees:

Tekst binnenin:

Subject: Estimado Cliente Pingo Doce - Segue em anexo a sua Fatura Eletronica. - ( 685809856280  )

Prezado (a) atendimento@pcrisk.pt ,

Segue em anexo a sua Fatura Eletronica.

Anexo: NFe-311502664715151006891154.PDF

Envio automatico, Favor nao Responder
Atenciosamente,
DPC Pingo Doce
Lisboa, Portugal 21 380 8520
    
Este email foi escaneado pelo Avast antivirus.
www.avast.com

16/09/2020 09:41:16

Nog een spam e-mail met een factuur als thema, gebruikt om een kwaadaardig MS Excel document te verspreiden:

Tekst binnenin:

Subject: Invoice 523389

 

Invoice Due:11/02/2020
523389    Amount Due: $1,860.00

Dear Customer:

Your PAST DUE invoice is attached. Please remit payment at your earliest convenience

Thank you for your business - we appreciate it very much.

Sincerely,
Accounts Payable

Schermafbeelding van het bijgevoegde kwaadaardige MS Excel-document:

Voorbeeld van weer een spambericht met een factuur als thema dat wordt gebruikt om een kwaadaardig MS Excel-document te verspreiden dat Dridex-malware in het systeem injecteert:

Tekst binnenin:

Subject: Electronic Invoice (#00332731)

 

Per your request, here is the invoice you have asked to be sent via email. If you have any questions, please feel free to call us at 800-485-1863

Schermafbeelding van het bijgevoegde MS Excel-document:

Alweer een spam e-mail met een factuur als thema die wordt gebruikt om een kwaadaardig .IMG-bestand te verspreiden (de links in het bestand leiden naar het downloaden van het bestand):

Tekst binnenin:

Subject: INV-209734564

Good Day
 
Please see attached Invoice.
 
For any other concern, please inform me.
 
Thanks.
Best Regards,
 
Ellen Maralit
Procurement Specialist
Sodexo On-Site Services, Inc.
Tel:  (2) 499-4356
Mobile:  9167781908
 
pdf.gif  Invoice .pdf
194K View as HTML  Scan and download
 
Disclaimer and Confidentiality
This e-mail, attachments included, is confidential. It is intended solely for the addressees. If you are not an intended recipient, any use, copy or diffusion, even partial of this message is prohibited. Please delete it and notify the sender immediately. Since the integrity of this message cannot be guaranteed on the Internet, SODEXO cannot therefore be considered liable for its content.Ce message, pieces jointes incluses, est confidentiel. Il est etabli a l'attention exclusive de ses destinataires. Si vous n'etes pas un destinataire, toute utilisation, copie ou diffusion, meme partielle de ce message est interdite. Merci de le detruire et d'en avertir immediatement l'expediteur. L'integrite de ce message ne pouvant etre garantie sur Internet, SODEXO ne peut etre tenu responsable de son contenu.
Please consider the environment before printing this message.

Avast logo       
This email has been checked for viruses by Avast antivirus software.
www.avast.com

Alweer een spambericht met een factuur als thema dat wordt gebruikt om een kwaadaardig MS Excel-document te verspreiden dat Dridex-malware in het systeem injecteert:

Tekst binnenin:

Subject: Invoice 093090

 

Invoice
Due:12/2/2020
093090
Amount Due: $1,940.00
Dear Customer:

Your invoice-093090 for $1,940.00 is attached.
We accept cash, check or ACH transfer per this invoice with INTUIT.
If you wish to pay by credit card, please contact our office.
A processing fee of 3.5% will be added to this invoice amount. Please remit payment at your earliest convenience.

Thank you for your business - we appreciate it very much.

Sincerely,

HEAD Office
919-36-0288

Schermafbeelding van het bijgevoegde MS Excel-document:

Nog een andere variant van spam e-mail met een factuur als thema:

Tekst binnenin:

Subject: Invoice 9170

Invoice Due:01/12/2021
9170
Amount Due: $1,440.00
Dear Customer:

Your invoice is attached. Please remit payment at your earliest convenience.

There is a 3% credit/debit card processing fee for all transactions.
If wanting to pay by credit/debit card, please respond to this email or call our office and we will forward a link for on-line processing.

Thank you for your business - we appreciate it very much.

808-245-4405
View & Pay Invoice

Een Spaanse variant van spam e-mail met een factuur als thema, waarin een phishing-website wordt gepromoot:

Tekst binnenin:

Subject: Factura

 

Estimado cliente,

Buen dí­a
Se adjunta una factura. N -

Descargar Factura
Gracias por su preferencia.
Saludos cordiales.

Nog een voorbeeld van spam e-mail met een factuur als thema die wordt gebruikt om malware te verspreiden:

Tekst binnenin:

Subject: Reminder about Unpaid invoice LL015445

 

Good day,

Please find attached invoice LL015445.

According to our data, the above mentioned invoice is still unpaid.

Please let us know when the payment will be done.  

AMITH BALRAM

ON BEHALF OF,

Announcement :  This is to inform all our customers and partners that COVID-19 global pandemic situation has created severe disruptions in Airlines and Shipping Lines schedules, services and availability of space for timely loading. Please note that these disruptions can cause delay / cancellation of our planned schedule of shipment leading to additional cost being incurred on the shipment being charged by Airlines / Shipping Lines on case to case basis. Therefore, all our quotations shall be subject to variance due to these factors. We request your understanding and co-operation.

Thanks & Regards,

Jovita Vas

Inside Sales-Importsales

jovita.vas@glweststardubai.com
+971 4 3974400
+971 43974666
+971 4 6098530

www.glweststardubai.com

11th Floor, Fahidi Heights, Khalid Bin Al Waleed Street, Bur Dubai, PO. BOx 6027, Dubai, United Arab Emirates

All our business activities and business transactions are undertaken in accordance with the NAFL Standard Trading Conditions. The duties, responsibilities and liabilities of the company are subject to the provisions of the NAFL Standard Trading Conditions. A copy of NAFL Standard Trading Conditions can be furnished upon request.

This message contains confidential and/or privileged information. If you are not the intended addressee or authorized to receive this for the intended addressee, you must not use, copy, disclose or take any action based on this message or any information herein. If you have received this message in error, please advise the sender immediately by reply e-mail and delete this message. Thank you for your cooperation.

Nog een voorbeeld van een spam e-mail met een factuur als thema, waarin een phishing site wordt gepromoot:

Tekst binnenin:

Subject: File "******** /Overdue Invoices- MARCH-JUNE21.pdf" has been shared with you on 7/22/2021 5:35:18 a.m.

 

A file has been shared with ********

forlogs.icu Q2 Overdue Invoices - JUNE21.pdf
******** Q2 Overdue Invoices - JUNE21.pdf
This link will work only for boss1
Open
Privacy Statement

Screenshot van de gepromote phishing site:

Nog een voorbeeld van een spam e-mail met een factuur als thema, die een kwaadaardig MS PowerPoint document verspreidt:

Tekst binnenin:

Subject: Re: Review Kindly

 

Good Day.
 
Please confirm the invoice of the ordered products before we initiate the transfer as attached.

Also, we request you to send us your best price for the items on the attached file with data sheets.
 
Please indicate the below information as well.
1. Delivery Period
2. Warranty
3. Payment Terms

Awaiting your immediate response in this regard.

Yours sincerely,

Mark Henry

Petro-Canada Lubricants Inc.
2310 Lakeshore Road West
Mississauga, Ontario, L5J 1K2
Canada.

Nog een voorbeeld van spam e-mail met een factuur als thema, waarin een kwaadaardig MS Excel-document wordt verspreid:

Tekst binnenin:

Subject: Invoice/Sales Receipt

Your sales receipt is attached. Your credit card on file has been charged.

Thank you for your business - we appreciate it very much.

Sincerely,

-------------------------   Sales Receipt Summary  ---------------------------
Receipt # : 4479
Receipt Date: 10/13/2021
Total: $3,442.00

The complete version has been provided as an attachment to this email.
----------------------------------------------------------------------

Schermafbeelding van het verspreide kwaadaardige MS Excel document:

Onmiddellijke automatische malwareverwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

• Wat is Invoice Email virus?
• STAP 1. Handmatige verwijdering van malware infecties.
• STAP 2. Controleer of uw computer schoon is.

Hoe verwijder ik malware handmatig?

Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus of anti-malware programma's dit automatisch te laten doen. Om deze malware te verwijderen raden wij u aan Combo Cleaner te gebruiken.

Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat draait op de computer van een gebruiker:

Als u de lijst met programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt gevonden dat er verdacht uitziet, moet u verdergaan met deze stappen:

Download een programma genaamd Autoruns. Dit programma toont automatisch opstartende toepassingen, register- en bestandssysteemlocaties:

Herstart uw computer in Veilige modus:

Windows XP en Windows 7 gebruikers: Start uw computer in veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van uw computer meerdere malen op de toets F8 op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Video die toont hoe Windows 7 op te starten in "Veilige modus met netwerkmogelijkheden":

Windows 8 gebruikers: Windows 8 starten in veilige modus met netwerkmogelijkheden- Ga naar het startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, in het geopende venster "Algemene pc-instellingen" selecteert u Geavanceerd opstarten.

Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het "Geavanceerde opstartopties menu". Klik op de knop "Problemen oplossen", en vervolgens op de knop "Geavanceerde opties". In het scherm met geavanceerde opties klikt u op "Opstartinstellingen".

Klik op de knop "Herstarten". Uw PC zal opnieuw opstarten in het scherm "Opstartinstellingen". Druk op F5 om op te starten in Veilige modus met netwerkmogelijkheden.

Video die toont hoe Windows 8 op te starten in "Veilige modus met netwerkmogelijkheden":

Windows 10 gebruikers: Klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op "Herstart" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. In het venster "Kies een optie" klikt u op "Problemen oplossen", vervolgens selecteert u "Geavanceerde opties".

In het menu "Geavanceerde opties" selecteert u "Opstartinstellingen" en klikt u op de knop "Herstarten". In het volgende venster moet u op de toets "F5" op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkmogelijkheden

Video die toont hoe Windows 10 op te starten in "Veilige modus met netwerkmogelijkheden":

Pak het gedownloade archief uit en voer het Autoruns.exe bestand uit.

In de Autoruns toepassing, klik op "Opties" bovenaan en verwijder het vinkje bij "Lege Locaties Verbergen" en "Windows Entries Verbergen" opties. Klik na deze procedure op het pictogram "Vernieuwen".

Check de lijst die door de Autoruns toepassing en zoek het malware bestand dat u wilt verwijderen.

U moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het zeer belangrijk om te vermijden dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u "Verwijderen".

Na het verwijderen van de malware via de Autoruns toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij het volgende opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.

Herstart uw computer in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Merk op dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet hebt, laat malwareverwijdering dan over aan antivirus- en anti-malwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan te proberen later malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij u aan uw computer te scannen met Combo Cleaner.

Veelgestelde vragen (FAQ)

Waarom heb ik deze e-mail ontvangen?

Het is waarschijnlijk dat cybercriminelen uw e-mailadres hebben verkregen uit een database van gelekte e-mails. E-mails die gebruikt worden om malware af te leveren zijn niet persoonlijk.

Ik heb een bestand gedownload en geopend dat bij deze e-mail was gevoegd, is mijn computer geïnfecteerd?

De MS Office-documenten die in deze malspam-campagne worden gebruikt, infecteren computers niet, tenzij ze toestemming krijgen om macro-opdrachten (bewerking of inhoud) in te schakelen. Hoewel schadelijke documenten die worden geopend met MS Office-versies van vóór 2010 computers infecteren zonder toestemming te vragen om macro-opdrachten in te schakelen.

Ik heb de e-mail gelezen maar de bijlage niet geopend, is mijn computer geïnfecteerd?

Het openen van een schadelijke e-mail kan geen schade veroorzaken. Computers raken alleen geïnfecteerd wanneer ontvangers kwaadaardige bestanden openen/uitvoeren (bijlagen of bestanden gedownload van ontvangen websites).

Verwijdert Combo Cleaner malware-infecties die aanwezig waren in de e-mailbijlage?

Ja, Combo Cleaner kan bijna alle bekende kwaadaardige programma's detecteren en verwijderen. Bepaalde malware kan zich diep in het systeem verbergen. In dergelijke gevallen moet het besturingssysteem volledig worden gescand.

▼ Toon discussie