kindly review our purchase order von Bajarullah Khan ([email protected]) an [email protected]
Am Mittwoch, den 29. März 2017 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Die Anlage enthält eine bösartige Software! Öffnen Sie daher nicht die Datei!
Betreff: kindly review our purchase order
Absender: Bajarullah Khan ([email protected])
Empfänger: [email protected]Good Morning Sir,
My name is Mr bajarullah Procurement Manager of Denko Trading Co.Ltd Myanmar (Burma).
Your company was highly recommended to us by one of our customers Mr. Kim from Korea.We would like to place an order. We have attached specification document for your reference.
Please send us invoice based on the attached specifications with your possible lead time.I await your reply.
Thanks and Best Regards
Mr bajarullah / Procurement department
Denko Trading Co.Ltd
No.19, Bayint Naung Rd, Yangon,
Myanmar (Burma)
Phone: +95 1 501 859
Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie nicht auf die Anlage, da diese eine bösartige Software enthält!
Der E-Mail ist das zip-Archiv „P.O0098900.zip“ beigefügt, welches die ausführbare Datei „P.O0098900.exe“ enthält. Virustotal zeigt eine Erkennungsrate von 25/61.
Nach der Ausführung würde die Datei mit der Adresse ndddon101.service-master.eu/gate.php Kontakt aufnehmen bzw. von ndddon101.service-master.eu die Datei shit.exe laden.
Die ausführbare Datei wird als „Sound.exe“ in das Roaming-Verzeichnis kopiert und über die Registry mit jedem PC-Start ausgeführt:
Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: P.O0098900.exe
Daten: C:\Users\user\AppData\Roaming\Sound.exe