PSInspect-Protokoll (4stellige Zahl) von verschiedenen Absendern
Am Montag, den 07. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:
Sehr geehrte Damen und Herren,
anbei finden Sie das PSInspect-Protokoll im Anhang.
Mit freundlichen Grüßen
Ihr Kundenservicecenter
Vereinzelt ist der E-Mail auch der Hinweis beigefügt, die E-Mail sei auf Viren geprüft worden:
Als Absender wird ein Vorname in Verbindung mit einem Fimennamen angezeigt. Hier einige Beispiele:
- Adolf – GEONG INTERNATIONAL
- Carsten – NEKTAN PLC
- Christian – Securicor
- Erhard – JOHNSON MATTHEY
- Franz – ETALON GROUP LTD
- Heinz – Moss Empires
- Kristian – FALANX GROUP LTD
- Lothar – Hinduja Group
- Uwe – FIRST QUANTUM MINERALS
- Walther – HARGREAVE HALE AIM VCT 2 PLC
- Wenzel – STANLEY GIBBONS GROUP PLC
- Wilhelm – PLANT HEALTH CARE
Der E-Mail ist ein Word-Dokument beigefügt. Der Dateiname lautet „Protokoll-(10stellige Zahl).doc“. Die Word-Datei enthält ein Makro, welches aus unterschiedlichen Verzeichnissen (z. B. /withdraw/pound.exe, /wiki/library.exe, /donate/donation.exe oder /migrate/migration.exe) verschiedener Domains eine Datei auf den Computer und dort als „obama.exe“ ablegen soll. Virustotal zeigt am 08.03.2016 eine Erkennungsrate von 22/54. Es handelt sich um das Trojanische Pferd „Dridex“.
Der gleiche Trojaner wurde auch durch die E-Mails „Rechnung Nr. V38041-4451 Online Auktion Nr.38041 vom 07.03.2016 54“ verteilt.