Rechnung 13907683 – Auftrag: 183595 – Ihre Bestellung: telef.
Am Mittwoch, den 23. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:
gesendet von
Celine Kollmorgen
Tel: +49(0)4522/3754 419 – Fax: +49(0)1138/1280 528
—
Heitmann Metallhandel GmbH
Hansekai 3
50735 Köln
Telefon: +49(0)4522/3754 419
Telefax: +49(0)1138/1280 528
Registergericht: Köln
Registernummer: HRB 90603
Geschäftsführer: Werner Heitmann
Die E-Mail kommt mit unterschiedlichen Rechnungs- und Auftragsnummern wie z. B.
- Rechnung 13907683 – Auftrag: 183595 – Ihre Bestellung: telef.
- Rechnung 99117387 – Auftrag: 031263 – Ihre Bestellung: telef.
- Rechnung 09860472 – Auftrag: 302434 – Ihre Bestellung: telef.
- Rechnung 46662064 – Auftrag: 217830 – Ihre Bestellung: telef.
Auch wenn in der E-Mail eine Celine Kollmorgen genannt ist, werden als Absender unterschiedliche Namen verwendet wie z. B.
- Adriana Beasley
- Angelita Villarreal
- Clayton Watkins
- Demetrius Bruce
- Elma Reynolds
- Franklyn Odonnell
- Hassan Dominguez
- Horacio Wiggins
- Maricela Noble
- Maude Levine
- Mildred Carey
- Miriam Delaney
- Nicole Jennings
- Sofia Roth
- Terrell Farmer
- Vanessa Singleton
- Winford Pratt
Die Heitmann Metallhandel GmbH warnt auf Ihrer Seite bereits vor solchen E-Mails.
Der gefälschten E-Mail ist eine Anlage im rtf-Format (Rich Text Format) beigefügt, welches sich z. B. mit Microsoft Word öffnen lässt und ein Makro mitbringt.
Das Makro lädt aus dem Verzeichnis /dana/home.php einer Domain den Online-Banking-Trojaner „Dridex“ nach. Virustotal zeigt eine Erkennungsrate von 10/56.
Der gleiche Trojaner wird auch über E-Mails mit dem Betreff „Ihre eOFFICE24 Pro Rechnung EQINV03649 vom 23.03.2016“ versendet.