Credit Card Details

Am Abend des 01. November 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20161101_credit_card_detail

Betreff: Credit Card Details

Dear (Empfänger),

I send you the details (inc. last transactions) of your VISA card #7562, as you requested.

If you need more information, feel free to contact me.

Best Regards,
Elvia Leonard

Die E-Mail kommt mit unterschiedlichen 4stelligen Nummern der VISA-Card und bringt ein .zip-Archiv wie z. B. „VISA_7544_11630a6ae.zip“ mit. Darin enthalten ist eine .vbs-Datei wie z. B. „credit_card_details_A1C63A_PDF.vbs“ (das „PDF“ fast am Ende des Dateinamen ist keine Dateiendung, vielleicht soll es von .vbs nur ablenken).

Das Script lädt z. B. von

  • abrintonal.com/5a60l

den Verschlüsselungs- und Erpessungstrojaner „Locky“. Virustotal zeigt eine Erkennungsrate von 8/56.

Während der Verschlüsselung (bzw. an deren Ende) versucht der Trojaner mit verschiedenen IP-Adressen Kontakt aufzunehmen.

  • http://91.239.232.171/linuxsucks.php
  • http://91.230.211.103/linuxsucks.php

Nach der Verschlüsselung finden sich viele Dateiformate nur noch als .thor-Dateien auf dem Computer wieder. Außerdem zeigt „Locky“ entsprechende Meldungen an:

20161101_credit_locky_html

20161101_credit_locky_bmp

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert