Fwd: Declined Payment Copy from our Bank von Chu Yong ([email protected]) bringt eine bösartige Software!

Am Freitag, den 27. Oktober 2017 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Es handelt sich um eine gefälschte E-Mail! Öffnen Sie daher nicht die Anlage!

Betreff: Fwd: Declined Payment Copy from our Bank
Absender: Chu Yong ([email protected])

Dear Sir,

Please find attached a declined debit note from our bank. Kindly
reconfirm your company’s bank account information and get back to us as
soon as possible so that we can complete your payment.

Thanks and regards,

Chu Yong
Purchase Manager

Achtung: Es handelt sich um eine gefälschte / betrügerische E-Mail! Öffnen Sie daher nicht die Anlage!

Die .z-Datei enthält angeblich eine .JPEG-Datei. In Wirklichkeit ist die Datei aber eine ausführbare Datei:

Declined Debit Note.JPEG.z

Declined Debit Note.JPEG

Die ausführbare Datei enthält Informationen, dass es sich angeblich um Skype handelt:

Laut Virustotal liegt die Erkennungsrate bereits bei 38/68!

Nach der Ausführung würde ein Unterverzeichnis angelegt, in dem sich vier Dateien befinden:

FolderN/name.exe

FolderN/name.exe.bat

FolderN/name.exe.jpg

FolderN/name.exe

Während die letzte Datei nur ein Link auf die ausführbare Datei ist, handelt es sich bei der name.exe.jpg dennoch um eine ausführbare Datei!

Die name.exe.bat-Datei sieht so aus:

Neben den o. g. Dateien wird noch eine svhost.exe in ein Verzeichnis gelegt:

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.