Rechnung Nr. (5 – 6stellige Zahl) vom 15.02.2016 von ADVANCED COURIER
Am Montag, den 22. Februar 2016 wurden im Laufe des Vormittag durch unbekannte Dritte die folgenden E-Mails in deutscher Sprache versendet:
Sehr geehrte Damen und Herren,
in der Anlage erhalten Sie unsere Rechnung 425346 vom 15.02.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs.
Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.
Bitte beachten ! Dieser Beleg ist das Orginalexemplar !
Mit freundlichen Grüßen
Walther Schulte
ADVANCED COURIER
Als angebliche Absender werden unterschiedliche Namen verwendet. Hier einige Beispiele:
- Arnold Engel
- Bodo Ziegler
- Clemens Schulze
- Curt Pfeiffer
- Curt Pohl
- Dietrich Meier
- Elmar Kraus
- Emil Mayer
- Franz Beck
- Gustaf Kuhn
- Hannes Winter
- Hans Vogel
- Harald Pohl
- Herbert Meier
- Hildebrand Schulze
- Jan Hahn
- Joachim Franke
- Johann Haas
- Klemens Friedrich
- Konrad Maier
- Lothar Scholz
- Luther Bauer
- Marko Voigt
- Martin Stein
- Maximilian Albrecht
- Nils Vogt
- Randolf Herrmann
- Reinhard Schulz
- Stefan Vogt
- Steffen Lorenz
- Sven Sauer
- Volker Lange
- Walther Schulze
- Walther Vogt
- Wilfried Klein
Die E-Mail-Adresse des angeblichen Absender täuscht vor, dass die E-Mail von der gleichen Domain wie der Empfänger kommt.
Als Anlage ist eine Word-Datei beigefügt. Diese enthält ein Makro, welches zwei Dateien auf dem PC anlegt (einmal eine .bat und einmal eine .vbs-Datei). Diese beiden Dateien laden dann von einer .org-Domain ein Trojanisches Pferd nach, welches zunächst als „kokoko.exe“ auf dem System gespeichert und dann ausgeführt wird. Virustotal zeigt per 22.02.2016 bereits eine Erkennung von 34/56.