Ihre eOFFICE24 Pro Rechnung EQINV03649 vom 23.03.2016
Am Mittwoch, den 23. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:
Lieber Kunde,
vielen Dank für Ihre Bestellung bei eOFFICE24. Im Anhang erhalten Sie Ihre Rechnung. Sie können alle Rechnungen auch jederzeit im eOFFICE24 Kundenbereich herunterladen:
https://www.eoffice24.com/customer.phpHerzliche Grüße und vielen Dank
Ihr PERSIEHL Team
Die E-Mail kommt mit unterschiedlichen Zeichenketten im Betreff wie z. B.
- Ihre eOFFICE24 Pro Rechnung EQINV03649 vom 23.03.2016
- Ihre eOFFICE24 Pro Rechnung BHINV26334 vom 23.03.2016
- Ihre eOFFICE24 Pro Rechnung WCINV60124 vom 23.03.2016
- Ihre eOFFICE24 Pro Rechnung JZINV48564 vom 23.03.2016
Der Absendername unterscheidet sich ebenfalls. Er lautet z. B.
- Amber Hull
- Bethany Shaw
- Bridgett Downs
- Edwina Gaines
- Janice Powel
- Jerrold Baxter
- Joni Suarez
- Kate Smith
- Shawn Freeman
- Tanisha Stout
- Violet Vazquez
- Wayne Fletcher
Der E-Mail ist eine Datei im rtf-Format (Rich Text Format) beigefügt. Diese lässt sich z. B. mit Microsoft Word öffnen und bringt ein Makro mit. Der Dateiname lautet z. B.
- rechn_0141-auftrgb nr23.rtf
- rechn_0953-auftrgb nr78.rtf
- rechn_2341-auftrgb nr864757.rtf
- rechn_89373-auftrgb nr037.rtf
Das Makro lädt aus dem Verzeichnis /dana/home.php einer Domain das Trojanische Pferd „Dridex“ nach. Virustotal zeigt eine Erkennungsrate von 10/56.
Die gleiche Datei wird auch über gefälschte E-Mails mit dem Betreff „Rechnung 13907683 – Auftrag: 183595 – Ihre Bestellung: telef.“ versendet.