cheque von [email protected]
Achtung: Der folgenden E-Mail vom Montag, den 28. November 2016 in spanischer Sprache ist keine Kopie eines Schecks, sondern eine Schadsoftware beigefügt!
Betreff: cheque
Absender: [email protected]
Buenos días,
Como hemos comentado, te adjunto la escritura con las rectificaciones marcadas en amarillo. He hablado con los compradores y esta mañana me mandan una copia del cheque.
Un saludo,
Die E-Mail kommt mit einer Anlage „CV copia del cheque (sin hcia).zip“, die ein ausführbares Programm „CV copia del cheque (sin hcia).docx.exe“ enthält. Die Endung „.docx“ (= Microsoft Word – Format) ist dabei nur als Ablenkung enthalten. Diese würde zwar zur Aussage in der E-Mail passen, eine Kopie eines Schecks mit (gelben) Markierungen sei beigefügt, es handelt sich aber dennoch um eine .exe (also ausführbare) Datei.
Virustotal zeigt eine Erkennungsrate von 33/55. Auf dem Computer werden anschließend diverse Dateien angelegt und (Kopien von) DLL-Dateien angelegt. Außerdem sendet der Trojaner Daten an die Adresse hsbc-auth-2.ru/smk/index.php. Die in der Registry (Run) verknüpfte Datei wird laut Virustotal mit einer Rate von 34/56 erkannt.