Rechnung Nr. V38041-4451 Online Auktion Nr.38041 vom 07.03.2016 54
Am Montag, den 07. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:
Sehr geehrte Damen und Herren,
als Anlage senden wir Ihnen die Rechnung (gilt als Original) für die von Ihnen ersteigerten Artikel bei der Online-Auktion Nr. 38041 vom 07.03.2016.
Wir bitten um Zahlungseingang bis zum 08.03.2016. Bitte geben Sie als Verwendungszweck die komplette Rechnungsnummer an.
Freundliche Grüße Ihr Surplex Auction Team
Surplex GmbH Wahlerstr. 4 97279 Düsseldorf Germany Geschäftsführer: Michael Werker, Ulrich Stalter, Amtsgericht Düsseldorf, HRB 19948, USt-ID DE184017430
Die E-Mail wurde nicht von der Surplex GmbH versendet. Diese warnt in Ihrer Internetseite ebenfalls vor diesen E-Mails.
Als angebliche Absender werden unterschiedliche Vornamen in Verbindung mit Firmennamen verwendet. Hier einige Beispiele:
- Armin – MAWANDA SUGARS LTD
- Detlef – UCB Home Loans
- Dirk – OCTOPUS TITAN VCT PLC
- Friedhelm – Dagenham Motors
- Gerhard – Spread Co
- Gustav – FULHAM SHORE PLC (THE)
- Harald – VISLINK PLC
- Hildebrand – ESSENDEN PLC
- Jonas – SOURCE BIOSCIENCE PLC
- Mario – METMINCO LTD
- Martin – HELLENIC CARRIERS LTD
- Raimund – COSTAIN GROUP
- Reinhard – MEDIA & INCOME TRUST
- Timo – RECONSTRUCTION CAPITAL II
- Tobias – ACACIA MINING PLC
- Ulf – Djhistory.com
Als Anlage ist eine Datei mit dem Namen „V(3-5Zahlen)-(3-5Zahlen)-(5-6Zahlen).zip“ beigefügt. Angeblich soll es sich um eine .zip – Datei handeln, in Wirklichkeit ist es aber ein Word-Dokument. Nach der Umbenennung in .doc lässt sich das Dokument öffnen. Die Word-Datei enthält ein Makro, welches eine Datei auf den Computer als „obama.exe“ ablegen soll. Virustotal zeigt am 08.03.2016 eine Erkennungsrate von 22/54. Es handelt sich um das Trojanische Pferd „Dridex“.
Der gleiche Trojaner wurde auch durch die E-Mails „PSInspect-Protokoll (4stellige Zahl) von verschiedenen Absendern“ verteilt.