Tracking number

Am Montag, den 19. September 2016 wurden durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:

20160919_tracking_number

Betreff: Tracking number

Dear (Benutzer), we are currently processing the order #5766936-0902016 you made yesterday.

Attached is the tracking number (12c5d005ca4dad91d075d15502e025618a8793ba3e819f3d43aaacd283177b).

If you encounter any problem receiving it, please contact us promptly.

Die E-Mail bringt in der Anlage angeblich weitere Details zu einer gestern getätigten Bestellung. Als Anlage ist ein ZIP-Archiv beigefügt, welches z. B. „27ff821384.zip“ lautet.

Im ZIP-Archiv befinden sich zwei Dateien. Zum einen eine Datei ohne Dateiendung wie z. B. „7“. Des weiteren bedindet sich ein JavaScript im Archiv, welches z. B. „tracking number scan ~A3E63~.js“ lautet.

Klicken Sie nicht auf die ZIP-Datei und vor allem nicht auf das JavaScript! Von der Domain filmymima.net/how92 wird eine bösartige Software nachgeladen. Das JavaScript speichert ihn z. B. unter „9nbSsJgF.dll“ auf dem System. Virustotal zeigt eine Erkennungsrate von 10/57.

Das Thema der E-Mail wie auch das Verhalten der Anlage hat eine sehr große Ähnlichkeit zu den ebenfalls versendeten „Express Parcel service“, die den Verschlüsselungs- und Erpressungstrojaner „Locky“ mitbringt.

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.