Please comfirm revised invoice. von KELLY. ([email protected]) bringt eine bösartige Software als Anlage!
Am Samstag, den 27. Oktober 2018 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in englischer Sprache versendet. Achtung: Öffnen Sie nicht die Anlage! Es handelt sich um eine bösartige Software!
Betreff: Please comfirm revised invoice.
Absender: KELLY. ([email protected])Dear Sir,
Pls find attached Proforma Invoice copy.
Thanks and Regards
Dhaval Kadiya
FIBREZONE
601-B Mahalay, Opp.President Hotel.,
Off.C.G.Road, Navrangpura,
AHEMDABAD – 380009Ph: 079-48404601
e-mail: [email protected]
Mobile : 9426360598Dear Sir,
Please see attach find bank receipt for balance payment 1st shipment, please kindly check and send us official receipt
Total paid $107,742.50 Thank you!
Best regards,
Kelly Zhang /???
Merchandiser/???
—————————————————————————————————–
SHAYNE INTERNATIONAL HOLDINGS LIMITED TAIWAN BRANCH
HANGZHOU HUATONG INDUSTRIES INC/????????????
Mobile: +86 18758898597
Email: [email protected]
Huanzhen East Road, Fengchuan, Tonglu, Hangzhou, Zhejiang, 311508, P.R.C.
?????????????????,311508
Achtung: Es handelt sich um eine betrügerische E-Mail! Öffnen Sie nicht das beigefügte ZIP-Archiv, welches eine ausführbare Datei enthält!
USD10774250.zip
AIRFORCE1.exe
Laut Virustotal wird die Datei bereits mit einer Erkennungsrate von 41/66 erkannt.
Nach der Ausführung legt er sich in ein Unterverzeichnis (z. B. %APPDATA%\D6C13F\F20758.exe)
F20758.exe
In der Registry sind entsprechende Einträge zu finden:
Nach der Infektion versucht er mit der Adresse jwtglolog-sg.icu/airforce/five/fre.php Kontakt aufzunehmen.