Re :wire update info correction von Elias Aad ([email protected])
Am Donnerstag, den 16. Februar wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: über den Link hinter dem Bild wird eine bösartige Datei geladen. Klicken Sie deswegen nicht auf das Bild und führen Sie die Datei nicht aus!
Betreff: Re :wire update info correction
Absender: Elias Aad ([email protected])Hello
Please be informed that we have sent you wire like agreed but it was rejected and returned to us.
Kindly confirm details of the transfer and get back to us with the right details if we made some
mistakes treat this as urgent.
Elias Aad
payments and purchase manager
tradeline enterprises
T +971 2 691 5249
F +971 2 665 4273——————————————————————————–
This email is free from viruses and malware because avast! Antivirus protection is active.
Achtung: Die E-Mail ist gefälscht! Klicken Sie deswegen nicht auf das Bild! Auch wenn am Ende der E-Mail steht, dass die E-Mail virenfrei ist, so würde über den Link (das Bild) eine bösartige Datei geladen.
Der Link führt auf eine Java-Datei in der Dropbox:
Die Datei würde über www.dropbox.com/s/5mdndmxnacp9bux/bank%20copy.jpeg.jar?dl=1 geladen und kann gespeichert oder direkt ausgeführt werden. Brechen Sie den Vorgang ab! Speichern Sie die Datei nicht und führen Sie die Datei auch nicht aus!
Virustotal zeigt bereits eine Erkennungsrate von 19/55.
Das Programm würde sich nach der Ausführung unter weiteren Dateinamen auf dem Computer ablegen und in der Registry eintragen (Beispiel):
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: aaqbhHRPnftoovv
Daten: „C:\Users\user\AppData\Roaming\Oracle\bin\javaw.exe“ -jar „C:\Users\user\ndZonakHxTAssaa\aLhFaxOLIVXfww.EnBtgBxsc“