„Hello“ oder „Hi there“
Am Montag, den 22. August 2016 wurden durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:
I am sending you the bills of the goods we delivered to you in the attachment
Die E-Mail kommt mit einem Betreff „Hello“ oder „Hi there“ und hat nur die eine englische Zeile als Inhalt. Daneben ist der Datei ein ZIP-Archiv beigefügt, welches z. b.
- 2b6403f2b475.zip
- f18090d5e0f8.zip
lautet. In der .zip-Datei ist ein JavaScript enthalten, welches z. B.
- export_pdf_ 0e8fd23b~.js
- export_pdf_ 2c5d0fa9~.js
lautet. Von diversen Domains wird eine Datei nachgeladen:
- all-rides.com/fwlgq
- escapegasmech.com/2zpr9p
- go4leiner.de/kxke3
- lkfashions.com/aeeyqj8
- muscleinjuries.com/ehqo79
- platimunjinoz.ws/6nmrv
- vilalusa.com/jzpp97
- vittuperkele.top/a6dg9qy
- www.sjones.talktalk.net/zz5sjc3
Auf dem System wird die Datei zunächst ohne Dateiendung abgespeichert. Danach wird die Datei als „.dll“-Datei nochmals abgespeichert. Die Dateinamen lauten z. B.
- 9gHTo11oVUsul8L.dll
- 9hhdj08yAcQh6UZY.dll
Virustotal zeigt eine Erkennungsrate von 6/56.