BTW:
Der hierbei eingesetzte C2-Server, steht wohl laut Subnetz in der Moskauer Region!
h**p://193.106[.]191.166/server.php
Da andere IPs noch nicht bekannt sind und die bisherigen Angriffe, immer diesen einen Server betreffen, würde ich pers. mal wieder von einem Feldtest ausgehen - es wäre ja auch ziemlich dämlich, bei einem funktionierenden Infekt dann wirklich nur Email-Accounts auszulesen! Das gayt ja auch einfacher mit viel weniger Kosten für den Haxxor… 