Unpaid Invoice #211660

Am Montag, den 07. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160307_unpaid_invoice

Dear Valued Customer,

Please make sure you send payment for your parcel to avoid any inconvenience. Open the attached file to review the confirmation listing.
Sincerely,

Ladonna Wilkins
Courier Service

 

Als Absender werden unterschiedliche Namen verwendet. Hier einige Beispiele:

  • Adeline Patterson
  • Alexandra Harper
  • Amado Campbell
  • Bianca Hurley
  • Cecilia Guy
  • Darren Gilmore
  • Deborah Elliott
  • Deborah Estrada
  • Eddie Lucas
  • Faye Rowland
  • Jeanne Lloyd
  • Ladonna Wilkins
  • Lindsay Singleton
  • Mamie Curtis
  • Marla Edwards
  • Millie Burris
  • Murray Jacobson
  • Raymundo Becker
  • Robin Beasley
  • Rolf Bright
  • Rosella Byrd
  • Sophie Tanner
  • Tessa Adkins
  • Tricia Valdez
  • Virgie Campos
  • Wilfred Whitaker

 

Der E-Mail ist ein .zip – Archiv beigefügt, welches eine .js – Datei enthält (letter.(9stellige Zahl).js, email.(9stellige Zahl).js oder accent.(9stellige Zahl).js). Aus unterschiedlichen Seiten wird der Verschlüsselungs- und Erpressungstrojaner Locky geladen und zur Ausführung gebracht. Auf dem Computer wird die ausführbare Datei zunächst als ajaxPrefilter.scr, attachEvent.scr, clientX.scr, colgroup.scr, cssExpand.scr, DOMParser.scr, each.scr, emptyStyle.scr, fire.scr, first.scr, getClass.scr, getter.scr, iframe.scr, invert.scr, modified.scr, offsetHeight.scr, oldCallbacks.scr, overwritten.scr, pseudos.scr, removeChild.scr, replaceWith.scr, rreturn.scrn oder rscriptType.scr abgelegt.

Einige der zum Nachladen verwendeten URLs sind identisch mit der E-Mail „Shipping Information – Your Order #957-3301“ vom Vormittag.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.