monthly report
Am Freitag, den 26. August 2016 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Good evening (Benutzername),
There were some errors in the monthly report you submitted last week.
See the highlights in the attachment and please fix as soon as possible.
Best regards,
Abram Kirk
Account Manager (5c4e81141616f2c1b66bbb688201a7cbad94f640008e61e307)
Der E-Mail mit dem Betreff „monthly report“ ist eine .zip – Datei beigefügt (z. B. 7cb24bf158b.zip). Darin enthalten ist ein JavaScript (.js), welches z. B. monthly_report_pdf (~d4384d3f).js lautet.
Das JavaScript lädt von verschiedenen Domains den Verschlüsselungs- und Erpressungstrojaner „Locky“ nach:
- clubofmalw.ws/0lq45
- www.chantale.force9.co.uk/ckwz1
- www.gioilda.com/wu68yx
- linhadjs.50webs.com/emjhq0
- alci.dommel.be/hyf3j
Die Datei wird dabei als .dll – Datei im System abgespeichert und zur Ausführung gebracht (z. B. 7Ta1GDfdJb.dll). Virustotal zeigt eine Erkennungsrate von 24/56.