Invitation letter
Am Donnerstag, den 26. Mai 2016 (Fronleichnam) wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear Mrs/Mr,
In the attached file you find the requested invitation letter.
If you have any questions, please do not hesitate to contact me.
Best Regards
STORE Capital Corporation
Henrietta Norton
Die E-Mail mit dem Betreff „Invitation letter“ wurde angeblich von verschiedenen Namen wie z. B. Henrietta Norton oder Joanne Munoz versendet. In der E-Mail sind für diese Absender unterschiedliche Firmennamen wie z. B. STORE Capital Corporation oder Krispy Kreme Doughnuts, Inc. angegeben.
Der E-Mail ist eine Anlage „invitation_(benutzer).zip“ (ZIP-Archiv), welche ein JavaScript mit dem Namen „employees -(3stellige Zahl)-.js“ (z. B. employees -367-.js oder employees -010-.js) enthält.
Von den Domains in-trees.com/qe496o0z oder citytonight.es/69210lmg wird eine Datei nachgeladen, die mit unterschiedlichen Dateinamen (z. B. Ra60OZGyuVI.exe oder yEhQr2tB.exe) auf dem Computer abgelegt und ausgeführt wird. Virustotal zeigt eine Erkennungsrate von 23/57.