RE:

Am Donnerstag, den 26. Mai 2016 (Fronleichnam) wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160526_re

Dear (Benutzer),

Please find attached a document containing our responses to the other points which we
discussed on Monday 23th May.

Please let me know if you have any queries
Regards,

Truett-Hurst, Inc.
Nettie Campbell

 

Die E-Mail mit dem einfachen Betreff „RE:“ stammt angeblich von unterschiedlichen Namen wie Nettie Campbell, Aurelia Dominguez oder Bernice Craft. Auch der Firmenname ist unterschiedlich wie z. B. Truett-Hurst, Inc., Limelight Networks, Inc. oder Sigma Designs, Inc.

Der E-Mail ist eine Anlage im ZIP-Format (responses_(benutzer).zip) beigefügt, die ein JavaScript mit dem Namen employees -(3 oder 4stellige Zahl)-.js (z. B. employees -4955-.js, employees -3494-.js oder employees -956-.js) enthält. Von den Domains brutalwoods.com/2t1sxq7t, greenwfms.com/kje7ojbp oder www.noghrehpol.ir/bthy5efo wird eine Datei nachgeladen und mit unterschiedlichen Dateinamen (z. B. ypB4y4HH5J.exe, aivmCCgpUcbDb.exe oder 8wYPqo3LmFSFv.exe) auf dem Computer abgelegt / ausgeführt.

Virustotal zeigt eine Erkennungsrate von 13/56.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.