Fax transmission: -5438758667-4219531604-2016032184112-44406.tiff von FX Service

Am Montag, den 21. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160321_fax_transmission_to

Please find attached to this email a facsimile transmission we
have just received on your behalf

(Do not reply to this email as any reply will not be read by
a real person)

 

 

Die E-Mail kommt angeblich von der eigenen Domain. Sie enthält angeblich ein Telefax, dessen Nummer sich unterscheidet. Die Anlage soll laut Betreff ein TIFF sein, lautet aber wie folgt:

  • F-0466901301-2294129952-2016032161882-18966.zip
  • F-5438758667-4219531604-2016032184112-44406.zip
  • F-3962995624-0222260620-2016032134448-19688.zip
  • F-0913929004-5672758548-2016032150251-14532.zip
  • F-8824774728-4743220012-2016032205473-14131.zip
  • F-9313276766-5492436118-2016032107963-28045.zip

 

In den .zip – Archiven sind JavaScript (.js) enthalten:

  • UAO4331925407.js
  • XFZ2228102903.js

 

Das JavaScript lädt von verschiedenen Domains aus dem Verzeichnis /wp-content/plugins/hello123/89h766b.exe, teilweise aber auch direkt aus dem Root-Verzeichnis /89h766b.exe den Verschlüsselungs- und Erpressungstrojaner Locky nach.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert