Threat Outbreak Alert: Fake Unpaid Debt Invoice Email Messages on June 18, 2013
Threat Type:
IntelliShield: Threat Outbreak Alert
IntelliShield ID:
27934
Version:
26
First Published:
2013 January 22 16:49 GMT
Last Published:
2013 June 18 15:52 GMT
Port:
Not Available
Urgency:
Possible Use
Credibility:
Confirmed
Severity:
Harrassment
Version Summary:
Cisco Security Intelligence Operations has detected significant activity on June 18, 2013.
Description
Cisco Security Intelligence Operations has detected significant activity related to spam email messages that claim to contain an unpaid debt invoice for the recipient. The text in the email message attempts to convince the recipient to open the attachment and view the details. However, the .zip attachment contains a malicious .com file that, when executed, attempts to infect the system with malicious code.
Email messages that are related to this threat (RuleID5118KVR and RuleID5118KVR_1) may contain any of the following files:
Daten 22.01.2013 Mahnung.zip Daten 22.01.2013 Mahnung.com Einzelheiten.23.01.2013.zip Daten Bestellung 23.01.2013 .com 29.01.2013 Einschreiben.zip Lieferschein Mahnung 29.01.2013 .com 29.01.2013-Bestelldaten.zip Mahnung 29.01.2013 Einzelheiten.com Bestelldaten Bestellung 31.01.2013.zip Mahnung 31.01.2013 Einzelheiten .com DE DE Lieferdaten Ihrer Mahnung.zip Mahnung vom 07.02.2013 Versand.com Bestelldaten Ihrer Mahnung.zip Mahnung Lieferung 06.02.2013 Versand .com Lieferschein Bestellung 09.02.2013 Hannelore Eppler.zip Offene Rechnung vom 09.02.2013.com Y0qq9q56y Einzelheiten Bestellung.zip 09.02.2013 - Offene Rechnung .com Offene Rechnung vom 09.02.2013.zip Abmahnung vom 14.02.2013 Guido.zip 14.02.2013 Rechnung - Mahnung .com Mahnbescheid vom 15.02.2013 DE DE.zip Bestell Unterlagen Mahnung .com Jtkckhcyk Rechnung.zip Schreiben 19.02.2013 Rechnung vom 19.02.2013.com DE DE .zip Rechnung 21.02.2013 Ansicht.com Vertrag Mkmtib5v8.zip Kaufvertrag - Mahnkosten vom 22.02.2013 .com Mahnung vom 26.02.2013.com Rechnung Peter Traumann.zip Rechnung 05.03.2013.zip Mahnung vom 05.03.2013 Kaufvertrag.com Mahnung 05.03.2013.zip Mahnung vom 05.03.2013 Bestellung.com Goupon AG Rechnung für Bernd-D. Wille 14.03.2013.zip Groupon GmbH 14.03.2013 Rechnung.com 07.03.2013 Groupon GmbH AG Abrechnung für Bernd-D. Wille.zip Ihre Groupon Online Abrechnung 07.03.2013.com Mahnung 26.03.2013 Rechnungsdaten.zip Mahnung 26.03.2013 Rechnungsdaten.com Rechnung 10.04.2013 MyDirtyHobby.zip Rechnung 10.04.2013 MyDirtyHobby.com Elena Devecchi Mahnkosten 13.05.2013 6448093329 www.schuhtempel24.de.zip Vertragliche Mahnung vom 13.05.2013 Inkasso.com Letzte Mahnung 27.05.2013 Conrad Online.zip Inkasso Rechnung vom 27.05.2013 .com Mahnung Rechtsanwalt Bader Online Store GmbH 06.06.2013.zip Vertragliche Inkasso-Kostenabrechnung nach Bestellung 07.06.2013.com Aufforderung Inkasso Fernseher-guenstiger Online GmbH AG.zip Mahnung 11.06.2013 Inkasso-Anwaltschaft.zip Mahnung 11.06.2013 Inkasso-Anwaltschaft.com Rechnung fur Menegazzi cristina Inkasso Druckerzubehoer Shop Online GmbH.zip Dritte Mahnung 11.06.2013 Inkasso Anwaltschaft.com Rechnung vom 14.06.2013 Rechtsanwalt Unimall GmbH.zip Aufforderung 14.06.2013 Inkasso Unimall GmbH.com Forderung DOMENICO vom 17.06.2013 Inkasso Thalia Online Store GmbH.zip DOMENICO Kostenrechnung 17.06.2013 Rechtsanwalt Thalia Online Store GmbH.com Kostenrechnung an Horst ulrich Rechtsanwalt IKEA Online GmbH.zip 18.06.2013 Forderung fur Horst ulrich Anwaltschaft IKEA Online GmbH.zip Rechnung an Horst ulrich von Rechtsanwalt IKEA Online GmbH 18.06.2013.com
The Daten 22.01.2013 Mahnung.com file in the Daten 22.01.2013 Mahnung.zip attachment has a file size of 103,424 bytes. The MD5 checksum, which is a unique identifier of the executable, is the following string: 0xCCAB7F6D08C9551E82C8E05D15EA8C20
The Daten Bestellung 23.01.2013 .com file in the Einzelheiten.23.01.2013.zip attachment has a file size of 49,152 bytes. The MD5 checksum is the following string: 0x9EF18E4C9DA8BBC10631FE61E54D95C8
The Lieferschein Mahnung 29.01.2013 .com file in the 29.01.2013 Einschreiben.zip attachment has a file size of 53,248 bytes. The MD5 checksum is the following string: 0xB175331C0BCB3BD57507783CDCBC26C7
The Mahnung 29.01.2013 Einzelheiten.com file in the 29.01.2013-Bestelldaten.zip attachment has a file size of 52,773 bytes. The MD5 checksum is the following string: 0xF3826FACBC72766CCC7FDEE65E730E35
The Mahnung 31.01.2013 Einzelheiten .com file in the Bestelldaten Bestellung 31.01.2013.zip attachment has a file size of 53,248 bytes. The MD5 checksum is the following string: 0x1C4D6D1C7124864C8FEEAD6947F981EA
The Mahnung vom 07.02.2013 Versand.com file in the DE DE Lieferdaten Ihrer Mahnung.zip attachment has a file size of 102,912 bytes. The MD5 checksum is the following string: 0x76547E68297E7A0BA746CF181C1727A3
The Mahnung Lieferung 06.02.2013 Versand .com file in the Bestelldaten Ihrer Mahnung.zip attachment has a file size of 61,287 bytes. The MD5 checksum is the following string: 0x5C2E6AE70F2431B738A9507A23EE7655
The Offene Rechnung vom 09.02.2013.com file in the Lieferschein Bestellung 09.02.2013 Hannelore Eppler.zip attachment has an approximate file size of 20,172 bytes. The MD5 checksum is not available
The 09.02.2013 - Offene Rechnung .com file in the Y0qq9q56y Einzelheiten Bestellung.zip attachment has a file size of 59,239 bytes. The MD5 checksum is the following string: 0x120773BE8EEC910CBD4E36C21DDB7EAA
A variant of Offene Rechnung vom 09.02.2013.com file in the Offene Rechnung vom 09.02.2013.zip attachment has a file size of 61,440 bytes. The MD5 checksum is the following string: 0x9B5A17325C0495F9ED3BA3801F14FE73
The 14.02.2013 Rechnung - Mahnung .com file in the Abmahnung vom 14.02.2013 Guido.zip attachment has a file size of 103,424 bytes. The MD5 checksum is the following string: 0x736C84A609E169948C59FC84FADB7F86
The Bestell Unterlagen Mahnung .com file in the Mahnbescheid vom 15.02.2013 DE DE.zip attachment has a file size of 101,888 bytes. The MD5 checksum is the following string: 0x03803E027274A002ADA20CF4CCB94868
The Schreiben 19.02.2013 Rechnung vom 19.02.2013.com file in the Jtkckhcyk Rechnung.zip attachment has a file size of 43,367 bytes. The MD5 checksum is the following string: 0xC6C727B86EBFEDA00404BD8783431653
The Rechnung 21.02.2013 Ansicht.com file in the DE DE .zip attachment has a file size of 98,304 bytes. The MD5 checksum is the following string: 0x42FB81A3D15EACA0661FAA57D1C8FD2C
The Kaufvertrag - Mahnkosten vom 22.02.2013 .com file in the Vertrag Mkmtib5v8.zip attachment has a file size of 28,164 bytes. The MD5 checksum is the following string: 0x218196F89850AD1A9AC4E1523CCD3654
The Mahnung vom 26.02.2013.com file in the Rechnung Peter Traumann.zip attachment has a file size of 39,328 bytes. The MD5 checksum is the following string: 0xF41B6D2BFA82E09D9445FC2F989CDE5B
The Mahnung vom 05.03.2013 Kaufvertrag.com file in the Rechnung 05.03.2013.zip attachment has a file size of 46,439 bytes. The MD5 checksum is the following string: 0x9552303F2D72C99538C5771C9CE1610C
The Mahnung vom 05.03.2013 Bestellung.com file in the Mahnung 05.03.2013.zip attachment has a file size of 108,544 bytes. The MD5 checksum is the following string: 0xDB06075865F2CD38439C0A2E4D947CB3
The Groupon GmbH 14.03.2013 Rechnung.com file in the Goupon AG Rechnung für Bernd-D. Wille 14.03.2013.zip attachment has a file size of 31,923 bytes. The MD5 checksum is the following string: 0x47241E7CA45EF9D32B86B1DDBD1CC42B
The Ihre Groupon Online Abrechnung 07.03.2013.com file in the 07.03.2013 Groupon GmbH AG Abrechnung für Bernd-D. Wille.zip attachment has a file size of 37,702 bytes. The MD5 checksum is the following string: 0xEA65DD19AC26B72F38A2402903E7B64A
The Mahnung 26.03.2013 Rechnungsdaten.com file in the Mahnung 26.03.2013 Rechnungsdaten.zip attachment has a file size of 135,680 bytes. The MD5 checksum is the following string: 0xEC954F0DD5200E5F3571CCFC98284987
The Rechnung 10.04.2013 MyDirtyHobby.com file in the Rechnung 10.04.2013 MyDirtyHobby.zip attachment has a file size of 162,304 bytes. The MD5 checksum is the following string: 0xE80CE7FEBE78686CBA2170BCB6D33AC4
The Vertragliche Mahnung vom 13.05.2013 Inkasso.com file in the Elena Devecchi Mahnkosten 13.05.2013 6448093329 www.schuhtempel24.de.zip attachment has no file size. The MD5 checksum is also not available.
The Inkasso Rechnung vom 27.05.2013 .com file in the Letzte Mahnung 27.05.2013 Conrad Online.zip attachment has a file size of 104,960 bytes. The MD5 checksum is the following string: 0x1B2D2A4B97C7C2727D571BBF9376F54F
The Vertragliche Inkasso-Kostenabrechnung nach Bestellung 07.06.2013.com file in the Mahnung Rechtsanwalt Bader Online Store GmbH 06.06.2013.zip attachment has a file size of 95,744 bytes. The MD5 checksum is the following string: 0x6974DB8E5E324457F514AB2A1A21072B
The Mahnung 11.06.2013 Inkasso-Anwaltschaft.com file in the Mahnung 11.06.2013 Inkasso-Anwaltschaft.zip attachment has a file size of 92,160 bytes. The MD5 checksum is the following string: 0xA0280F7009FA32B6020920E87EC7B59A
The Dritte Mahnung 11.06.2013 Inkasso Anwaltschaft.com file in the Rechnung fur Menegazzi cristina Inkasso Druckerzubehoer Shop Online GmbH.zip attachment has a file size of 62,976 bytes. The MD5 checksum is the following string: 0x1741293CA3EC253CF9084C7731B10199
The Aufforderung 14.06.2013 Inkasso Unimall GmbH.com file in the Rechnung vom 14.06.2013 Rechtsanwalt Unimall GmbH.zip attachment has a file size of 97,660 bytes. The MD5 checksum is the following string: 0x76A87FF75C86A7DDBB48AB19D170CC4C
The DOMENICO Kostenrechnung 17.06.2013 Rechtsanwalt Thalia Online Store GmbH.com file in the Forderung DOMENICO vom 17.06.2013 Inkasso Thalia Online Store GmbH.zip attachment has a file size of 102,400 bytes. The MD5 checksum is the following string: 0x372905881CCA4DCD7F71C5151B0A44B2
The Rechnung an Horst ulrich von Rechtsanwalt IKEA Online GmbH 18.06.2013.com file in the Kostenrechnung an Horst ulrich Rechtsanwalt IKEA Online GmbH.zip attachment has a file size of 36,895 bytes. The MD5 checksum is the following string: 0x2526747900B1517A80675358C4EE6078
The following text section is a sample of the email message that is associated with this threat outbreak:
Message Body:
Sent from Libero Mobile
Sehr geehrte/r Gioia Claudio,
Sie haben auf unsere deutliche Zahlungserinnerung vom 03.01.2013 nicht reagiert, so dass der fällige Betrag aus der Rechnung 117542636 vom 15.12.2012 von Ihnen noch nicht beglichen wurde.
Wir bitten Sie daher den nicht beglichenen Betrag von 300,00 Euro binnen 7 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen.
In der Anlage finden Sie Ihre Mahnung und Einzelheiten Ihrer Bestellung.
Bei Fragen können Sie sich gerne an unseren Kundenservice unter 0900 - 96 943 9636 (1,79 Euro/Min dt. Festnetz) wenden.
Sollte auch diese Frist ohne eine Überweisung verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung geben.
Zahlungseingänge wurde bis zum 22.01.2013 geprüft.
Mit verbindlichen Grüßen
Ihr OWEP-GmbH-Kundenservice
Or
Subject: DE DE Abmahnung laut Vertrag DE94663064
Message Body:
Sehr geehrte/r DE DE,
unglücklicherweise war die Abbuchung mittels Lastschrift von Ihren angegebenen Kontodaten nicht möglich oder es wurde eine Rückbuchung veranlaßt, für die Kosten von 35,99 EUR entstanden sind.
Ihre Rechnungsnummer: 067967816440 bei www.hoh.de
Rechnungs-Summe: 774,20 Euro
Empfänger: DE DE
Zahlungsmethode: Bankeinzug
Wir geben Ihnen Möglichkeit die Summe inklusive der Gebühren für die Rücklastschrift bis zum 13.02.2013 an uns zu überweisen. Im anderen Fall sehen wir uns gezwungen, ein Gerichtsverfahren in die Wege zu leiten.Bitte ersparen Sie sich weitere Probleme und Kosten und zahlen Sie sofort die beiliegende Rechnung.
Bitte nehmen Sie sich einen kleinen Moment Zeit, um Ihre Auftragsdetails zu überprüfen.
Im beigefügtem Dokument finden Sie Ihre Lieferung und weitere weitere Details Ihrer Bestellung.
Bei Fragen steht Ihnen unser Kundenservice Montag bis Freitag von 8:00 Uhr bis 17:00 Uhr telefonisch unter 01804/ 23 6166 8 (1,19 Euro pro Minute - ggf. abweichende Preise aus dem Mobilfunknetz) zur Verfuegung.
Bitte beachten Sie, dass kein postalischer Versand der Unterlagen erfolgt!
Mit verbindlichen Grüßen
Maksim Huber Ihr Kundenservice-Online
Or
Message Body:
Sehr geehrte/r Guido,
wir danken Ihnen für Ihren Einkauf bei Mediastore24.
Leider hat unsere Finanz Leitung bei Ihnen eine offene Zahlung festgestellt
Wenn Sie den Rechnungsbetrag in den letzten Tagen überwiesen haben, betrachten Sie dieses Schreiben als gegenstandslos. Möglicherweise ist Ihnen jedoch entgangen die Rechnung für Ihre Bestellung 92503 fristgerecht zu bezahlen.
Rechnungsbetrag: 278,99 Euro
Mahnkosten: 19,00 Euro
Bitte bezahlen Sie die Rechnung bis zum 17.02.2013.
In der ZIP Anlage finden Sie Ihre Rechnung und andere Details Ihrer Bestellung.
Wird auch diese Zeitfrist ohne eine Zahlung verstreichen, so müssen wir diese Angelegenheit an unsere Anwälte zur Einforderung geben.
Wir danken Ihnen für Ihr Vertrauen.
Ute Kühn Ihre Online Kundenbetreuung
Or
Message Body:
Sehr geehrter Kunde,
in der weiter unten aufgeführten Angelegenheit wurden wir berechtigt die finanziellen Interessen von Fernseher-guenstiger Shop GmbH zu vertreten. Ordnungsgemäße Bevollmächtigung wird anwaltlich zugesichert
Mit Ihrer Bestellung vom 06.05.2013 haben Sie sich verpflichtet den Betrag von 540,00 Euro an unseren Mandanten zu zahlen. Dieser Verpflichtung sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Kosten unserer Inanspruchnahme zu tragen.
Diese ergeben sich nach folgender Kostenrechnung:
EUR 13,00 (nach Nr. 878 RGV}
EUR 39,00 (Pauschalvergütung gemäß § 4 Abs. 1 und 2 RVG}
Wir verpflichten Sie Kraft Vollmacht unserer Mandantschaft den Gesamtbetrag auf das Konto unseren Mandanten zu überweisen. Die Bankdaten und die Einzelheiten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 16.06.2013.
Das Einhalten dieser zeitlichen Frist liegt auf jedem Fall in Ihrem Interesse. Falls Sie diese Frist ergebnislos verstreichen, werden ohne weitere Aufforderung gerichtliche Schritte einleitet. Dadurch werden Ihnen weitere, erhebliche Kosten entstehen.
Mit freundliche Grüßen Michael Friedrich Inkasso Anwaltschaft
Or
Subject: IKEA Online GmbH Mahnung an Horst ulrich 18.06.2013
Message Body
Sehr geehrter IKEA Online GmbH Kunde Horst ulrich,
unsere Kanzlei wurden von der Firma IKEA Online GmbH beauftragt die gesetzlichen Rechte zu schützen. Die ordnungsgemäße Bevollmächtigung wurde notariell schriftlich versichert.
Mit der Bestellung im Online Shop vom 17.05.2013 haben Sie sich gesetzlich verpflichtet die Summe in Höhe von 774,00 Euro an unseren Mandanten zu begleichen.
Ihrer Verpflichtung sind Sie bis jetzt nicht nachgekommen. Außerdem sind Sie verpflichtet die Ausgaben unserer Inanspruchnahme im vollen Umfang zu zahlen.
Wir zwingen Sie gesetzlich den gesamten Betrag auf das Bankkonto unseren Mandanten zu überweisen. Die Bankdaten und die Lieferdaten der Bestellung finden Sie im Anhang. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 26.06.2013.
Mit freundliche Grüßen
Kira Ziegler IKEA Online GmbH
Cisco Security Intelligence Operations analysts examine real-world email traffic data that is collected from over 100,000 contributing organizations worldwide. This data helps provide a range of information about and analysis of global email security threats and trends. Cisco will continue to monitor this threat and automatically adapt systems to protect customers. This report will be updated if there are significant changes or if the risk to end users increases.
Cisco security appliances protect customers during the critical period between the first exploit of a virus outbreak and the release of vendor antivirus signatures. Email that is managed by Cisco and end users who are protected by Cisco Web Security Appliances will not be impacted by these attacks. Cisco security appliances are automatically updated to prevent both spam email and hostile web URLs from being passed to the end user.
The security vulnerability applies to the following combinations of products.
Primary Products:
IntelliShield
Threat Outbreak Alert
Original Release Base
Associated Products:
N/A
Alerts and bulletins on the Cisco Security Intelligence Operations Portal are highlighted by analysts in the
Cisco Threat Operations Center and represent a subset of the comprehensive content that is available through Cisco Security IntelliShield Alert Manager Service.
This customizable threat and vulnerability alert service provides security staff with access to timely, accurate, and credible information about threats and vulnerabilities that may affect their environment. Cisco is pleased to offer a free trial of the service.
To register for full access, please visit the IntelliShield trial registration page.
LEGAL DISCLAIMER The urgency and severity ratings of this alert are not tailored to individual users; users may value alerts differently based upon their network configurations and circumstances. THE ALERT, AND INFORMATION CONTAINED THEREIN, ARE PROVIDED ON AN "AS IS" BASIS AND DO NOT IMPLY ANY KIND OF GUARANTEE OR WARRANTY, INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE. YOUR USE OF THE ALERT, AND INFORMATION CONTAINED THEREIN, OR MATERIALS LINKED FROM THE ALERT, IS AT YOUR OWN RISK. INFORMATION IN THIS ALERT AND ANY RELATED COMMUNICATIONS IS BASED ON OUR KNOWLEDGE AT THE TIME OF PUBLICATION AND IS SUBJECT TO CHANGE WITHOUT NOTICE. CISCO RESERVES THE RIGHT TO CHANGE OR UPDATE ALERTS AT ANY TIME.
