Tracking number
Am Montag, den 19. September 2016 wurden durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet:
Betreff: Tracking number
Dear (Benutzer), we are currently processing the order #5766936-0902016 you made yesterday.
Attached is the tracking number (12c5d005ca4dad91d075d15502e025618a8793ba3e819f3d43aaacd283177b).
If you encounter any problem receiving it, please contact us promptly.
Die E-Mail bringt in der Anlage angeblich weitere Details zu einer gestern getätigten Bestellung. Als Anlage ist ein ZIP-Archiv beigefügt, welches z. B. „27ff821384.zip“ lautet.
Im ZIP-Archiv befinden sich zwei Dateien. Zum einen eine Datei ohne Dateiendung wie z. B. „7“. Des weiteren bedindet sich ein JavaScript im Archiv, welches z. B. „tracking number scan ~A3E63~.js“ lautet.
Klicken Sie nicht auf die ZIP-Datei und vor allem nicht auf das JavaScript! Von der Domain filmymima.net/how92 wird eine bösartige Software nachgeladen. Das JavaScript speichert ihn z. B. unter „9nbSsJgF.dll“ auf dem System. Virustotal zeigt eine Erkennungsrate von 10/57.
Das Thema der E-Mail wie auch das Verhalten der Anlage hat eine sehr große Ähnlichkeit zu den ebenfalls versendeten „Express Parcel service“, die den Verschlüsselungs- und Erpressungstrojaner „Locky“ mitbringt.