Lieferung oder Rechnung von [email protected]
Am Mittwoch, den 17. August 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:
vielen Dank für Ihre Bestellung!
wir freuen uns, Ihnen mitteilen zu können, dass Ihre Ware heute in den Versand geht und am 17.08. zugestellt wird.
Die Rechnung erhalten Sie im Anhang.
Freundliche Grüße
i.A. Matthias Scheiwiller
Kalte Zeiten GmbH
Sportplatzstrasse 4, 8890 Flums
Geschäftsführer: Thomas Brand
Fon: 033 75/ 79 989
Fax: 033 75/ 05 095
USt-ID: DE 144632074
St.-Nr: 049/791/96113
Die E-Mail kommt entweder mit dem Betreff „Lieferung“ oder „Rechnung“, angeblich von [email protected]. Die in der E-Mail genannte Firma unterscheidet sich aber in den E-Mails. Hier weitere Beispiele:
i.A. Sandro Scheiwiller
Rippst ein Martin
Roosmattstr. 34, 5273 Oberhofen
Geschäftsführer: Matthias Baumgartner
Fon: 033 75/ 72 346
Fax: 033 75/ 63 657
USt-ID: DE 161972794
St.-Nr: 049/960/25789
i.A. Matthias Freudiger
Steuer-Bilanz-Treuhand AG
Sportplatzstrasse 4, 8890 Flums
Geschäftsführer: Thomas Scheiwiller
Fon: 033 75/ 98 033
Fax: 033 75/ 85 768
USt-ID: DE 121600176
St.-Nr: 049/622/15567
i.A. Maria Freudiger
Thomas Amrein
Bluemetweg 2a, 5073 Gipf-Oberfrick
Geschäftsführer: Maria Baumgartner
Fon: 033 75/ 70 158
Fax: 033 75/ 35 344
USt-ID: DE 194168973
St.-Nr: 049/182/49576
Der E-Mail ist eine Word-Datei mit dem Namen „rechnung17Aug.docm“ beigefügt:
Angeblich ist die Kodierung der Datei falsch, weswegen der Anwender die Bearbeitung aktivieren und danach den Inhalt aktivieren soll. Bei letzterem Klick wird aber ein Makro ausgeführt, was von unterschiedlichen URLs die Datei „flyan.mpeg“ nachlädt und ausführt.
- maxi.bergmetzgerei.ch/siruto/faxeqi/dosoxa.php
- auf87.maxipic.ch/rucymi/rybidy/facuwy.php
Virustotal zeigt eine Erkennungsrate von 6/53.