We have delivery problems with your parcel # 134581847 von USPS Ground ([email protected]) an AOL Users

Kommentar hinterlassen

Am Freitag, den 12. Mai 2017 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Die E-Mail bringt eine bösartige Software mit bzw. lädt diese nach! Klicken Sie deswegen nicht auf die Anlage!

Betreff: We have delivery problems with your parcel # 134581847
Absender: USPS Ground ([email protected])
Empfänger: AOL Users

Hello,

We can not deliver your parcel arrived at Thu, 11 May 2017 18:39:13 -0700.

Please check delivery label attached!

Thank you.
Regional Berling – USPS Chief Support Manager.

Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie nicht auf die Anlage und führen Sie die Datei nicht aus!

Die E-Mail behauptet, ein Paket an Sie konnte nicht ausgeliefert werden und in der Anlage wäre der Paketschein beigefügt. Als Anlage bringt die E-Mail ein gepacktes Archiv „DeliveryDetails.7z“ mit, welches in ein Verzeichnis die Datei „DeliveryDetails\DeliveryDetails.js“ entpackt. Dieses JavaScript sieht ungefähr so aus:

Wie man sehen kann, soll von den Domains

  • steuer-wirtschaft-recht.de/modules/mod_login
  • ikincielesyaevi.com/wp-admin/includes
  • demirbasetiketi.net/wp-content/uploads/2017/03/
  • ronakco.com/media/com_jnews/modules/skin
  • gokcentunc.com/wp-includes/images/crystal

eine Datei nachgeladen werden. Das Script ergänzt dabei die Adressen und lädt z. B. von

  • steuer-wirtschaft-recht.de/modules/mod_login/counter?N8SB5lU8sqn421Tg5KXUNUEWNaVLVnMoFuiUp9E4aSWIbTFJWFC3wxGL6A8XVbsbQJkVX8T6GMuFY4GXBYKOeyUeLGAMQkovpFUiV16RPMhEGWFW5g7JyrXyPGTYbh5i1zf1nk7yPG9R0TFJWOrCxKKU3sBOb0HrrOAyNVFFkwUKrKgY
  • ikincielesyaevi.com/wp-admin/includes/counter?N8SB5lU8sqn421Tg5KXUNUEWNaVLVnMoFuiUp9E4aSWIbTFJWFC3wxGL6A8XVbsbQJkVX8T6GMuFY4GXBYKOeyUeLGAMQkovpFUiV16RPMhEGWFW5g7JyrXyPGTYbh5i1zf1nk7yPG9R0TFJWOrCxKKU3sBOb0HrrOAyNVFFkwUKrKgY

die Datei „exe1.exe“ nach. Laut Virustotal liegt die Erkennungsrate bei 39/60.

Nach der Ausführung versucht die Datei an diverse IP-Adressen etwas zu senden:

  • 52.52.226.177
  • 117.21.204.12
  • 64.254.120.94
  • 8.4.52.26

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert