Corresponding Invoice
Am Mittwoch, den 22. Juni 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Dear (benutzer):
Thank you for your email regarding your order of 21 June, and sorry for the delay in replying. I am writing to confirm receipt of your order, and to inform you that the item you requested will be delivered by 25 June at the latest. If you require more information regarding this order, please do not hesitate to contact me.
Also, our records show that we have not yet received payment for the previous order of 11 June, so I would be grateful if you could send payment as soon as possible. Please find attached the corresponding invoice.
If there is anything else you require, our company would be pleased to help. Looking forward to hearing from you soon.
Yours sincerely
Tabitha Rivera
Director, Digital Communications
Die E-Mail mit dem Betreff „Corresponding Invoice“ wurde von unterschiedlichen Absendern versendet. Der E-Mail ist ein .zip – Archiv beigefügt, welches z. B. folgende Namen trägt:
- (benutzer)_unpaid_487962.zip
- (benutzer)_unpaid_311960.zip
- unpaid_(benutzer)_005430.zip
- (benutzer)_unpaid_144331.zip
Im ZIP-Archiv ist ein JavaScript enthalten, was z. B. unpaid-830.js, unpaid_989.js, unpaid-1665.js oder unpaid-621.js lautet.
Von unterschiedlichen Domains wird der Verschlüsselungs- und Erpressungstrojaner „Locky“ nachgeladen
- dragon.obywateleuropy.eu/38nanwy
- hyip-all.com/9qwmc65
- kosztorys.w8w.pl/2hw4cm
- passagegoldtravel.com/bqugo3qb
Virustotal zeigt eine Erkennungsrate von 29/55.