„Hello“ oder „Hi there“

Am Montag, den 22. August 2016 wurden durch unbekannte Dritte die folgenden E-Mails in englischer Sprache versendet:

20160822_hi_there

I am sending you the bills of the goods we delivered to you in the attachment

Die E-Mail kommt mit einem Betreff „Hello“ oder „Hi there“ und hat nur die eine englische Zeile als Inhalt. Daneben ist der Datei ein ZIP-Archiv beigefügt, welches z. b.

  • 2b6403f2b475.zip
  • f18090d5e0f8.zip

lautet. In der .zip-Datei ist ein JavaScript enthalten, welches z. B.

  • export_pdf_ 0e8fd23b~.js
  • export_pdf_ 2c5d0fa9~.js

lautet. Von diversen Domains wird eine Datei nachgeladen:

  • all-rides.com/fwlgq
  • escapegasmech.com/2zpr9p
  • go4leiner.de/kxke3
  • lkfashions.com/aeeyqj8
  • muscleinjuries.com/ehqo79
  • platimunjinoz.ws/6nmrv
  • vilalusa.com/jzpp97
  • vittuperkele.top/a6dg9qy
  • www.sjones.talktalk.net/zz5sjc3

Auf dem System wird die Datei zunächst ohne Dateiendung abgespeichert. Danach wird die Datei als „.dll“-Datei nochmals abgespeichert. Die Dateinamen lauten z. B.

  • 9gHTo11oVUsul8L.dll
  • 9hhdj08yAcQh6UZY.dll

Virustotal zeigt eine Erkennungsrate von 6/56.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.