Bill N-C399BE
Am Dienstag, den 29. März 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear (Empfänger),
Please check the bill in attachment.
In order to avoid fine you have to pay in 48 hours.Best regards
Sanford Pope
Operations Director (CEO Designate)
Der E-Mail „Bill N-C399BE“ von Sanford Pope ist eine Anlage „E0A69_(Benutzername)_C399BE.zip“ beigefügt. Da die Anlage zumindest teilweise falsch formatiert ist, lässt sie sich unter Umständen nicht entpacken. Eigentlich würde das ZIP-Archiv folgende Dateien beinhalten:
- scan/a7ccee/9604157.js
- scan/a7ccee/6
Das JavaScript lädt die Datei mi3sa einer Domain nach, bei der es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“ handelt. Virustotal zeigt eine Erkennungsrate von 13/56.