Philip Morris International - pmi.com

[mephistopheles]

Angeblich von diesef Firma mit folgenden "professionellen" Text

Betreff: Re: INVV / AW290389B = 07.11.2023

Rechnung ist überwiesen, siehe Anhang.

MfG

Paul Christiansen

header:

01: From - Tue Nov  7 xx:xx:xx 2023
02: X-Account-Key: account1
03: X-UIDL: [UID filtered]
04: X-Mozilla-Status: 0011
05: X-Mozilla-Status2: 10000000
06: X-Mozilla-Keys:                                                                        
07: 	        
08: Return-Path: <xxxxxxx.senior [at] t-online.de>
09: Received: from fwd75.aul.t-online.de ([10.223.144.101])
10: 	by ehead23b11.aul.t-online.de with LMTP
11: 	ID: [ID filtered]
12: 	(envelope-from <xxxxxxx.senior [at] t-online.de>); Tue, 07 Nov 2023 xx:xx:xx +0100
13: Received: from WIN-BUNS25TD77J ([54.38.151.129]) by fwd75.t-online.de
14: 	with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted)
15: 	esmtp ID: [ID filtered]
16: From: "AP_paymentadvices.pmiscefin [at] pmi.com" <xxxxxxx.senior [at] t-online.de>
17: Subject: RE: RE: INVV / AW290389B = 07.11.2023
18: To: <poor [at] spamvictim.tld>
19: Content-Type: multipart/mixed; boundary="hH3X37qrD1Ve1CUDV11FYjD2=_G8GxU7Ap"
20: MIME-Version: 1.0
21: Date: Mon, 6 Nov 2023 xx:xx:xx -0800
22: Message-ID: [ID filtered]
23: X-TOI-VIRUSSCAN: clean
24: X-TOI-EXPURGATEID: [ID filtered]
25: X-TOI-MSGID: [ID filtered]

Und im Anhang zwei PDF-Dokumente, mit der Bezeichnung Rechnung5332723.XLSX

[hoppala]

Anhang dürfte Schadsoftware (oder -Downloader) sein, der Versand üblicherweise über gehackte Mailkonten. Nix wirklich interessantes, aber nervt und kommt doch ab und zu bei einem naiven Opfer zum Erfolg...

hoppala

[schara56]

Code:

13: Received: from WIN-BUNS25TD77J ([54.38.151.129]) by fwd75.t-online.de

^whois:54.38.151.129

Code:

inetnum:        54.38.151.128 - 54.38.151.159
netname:        OVH_283006083
country:        GB
descr:          Failover Ips
org:            ORG-SV95-RIPE
admin-c:        OTC14-RIPE
tech-c:         OTC14-RIPE
status:         LEGACY
mnt-by:         OVH-MNT
created:        2023-07-25T14:31:51Z
last-modified:  2023-07-25T14:31:51Z
source:         RIPE

[hoppala]

Interessant: ^whois: [Link nur für registrierte Mitglieder sichtbar. ] legt nahe, dass es sich bei WIN-BUNS25TD77J um einen Windows-PC handelt, der mit offenen Ports zum allgemeinen Gebrauch einlädt.

hoppala

[schara56]

Viel Spaß!

Code:

Test-NetConnection -ComputerName 54.38.151.129 -Port 3389
ComputerName     : 54.38.151.129
RemoteAddress    : 54.38.151.129
RemotePort       : 3389
TcpTestSucceeded : True

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/result?qbase64=aXA9IjU0LjM4LjE1MS4xMjki