RE: copy
Am Freitag, den 27. Mai 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear (Benutzer),
With reference to the telephonic conversation, I am sending a copy of document attached to this mail.
Hope to hear from you soon .
Regards,Hornbeck Offshore Services
Michel Deleon
Die E-Mail mit dem Betreff „RE: copy“ stammt angeblich von unterschiedlichen Personen wie z. B. Jaclyn Sexton oder Michel Delon. Auch der Firmenname in der E-Mail unterscheidet sich. So kommen z. B. Hornbeck Offshore Services oder The Chefs‘ Warehouse, Inc. vor.
Der E-Mail ist eine ZIP-Datei „doc_copy_(benutzer).zip“ beigefügt, die ein JavaScript enthält („reference-(4stellige Zahl)-.js“, z. B. reference-7856-.js oder reference-4901-.js). Von den Domains thetoolfactory.co.uk/z8kx205g, love2design.co.uk/84toh oder matvil8.freehostia.com/8xnrkz6b wird eine Datei geladen, die mit unterschiedlichen Namen (z. B. dyqP0EVY.exe oder 1Mywi61R5h.exe) auf dem System abgelegt und zur Ausführung gebracht wird.
Virustotal zeigt eine Erkennungsrate von 5/56.