RE: copy

Am Freitag, den 27. Mai 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160527_re_copy

Dear (Benutzer),

With reference to the telephonic conversation, I am sending a copy of document attached to this mail.

Hope to hear from you soon .
Regards,

Hornbeck Offshore Services
Michel Deleon

 

Die E-Mail mit dem Betreff „RE: copy“ stammt angeblich von unterschiedlichen Personen wie z. B. Jaclyn Sexton oder Michel Delon. Auch der Firmenname in der E-Mail unterscheidet sich. So kommen z. B. Hornbeck Offshore Services oder The Chefs‘ Warehouse, Inc. vor.

Der E-Mail ist eine ZIP-Datei „doc_copy_(benutzer).zip“ beigefügt, die ein JavaScript enthält („reference-(4stellige Zahl)-.js“, z. B. reference-7856-.js oder reference-4901-.js). Von den Domains thetoolfactory.co.uk/z8kx205g, love2design.co.uk/84toh oder matvil8.freehostia.com/8xnrkz6b wird eine Datei geladen, die mit unterschiedlichen Namen (z. B. dyqP0EVY.exe oder 1Mywi61R5h.exe) auf dem System abgelegt und zur Ausführung gebracht wird.

Virustotal zeigt eine Erkennungsrate von 5/56.

 

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.