Emails with embedded URL ***.zip downloads malicious file


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with an embedded URL to download a ZIP file. The campaign is very similar to the previous one but the URLs have different variants,  the emails are sent mainly from spoofed email addresses under the .it LTD and are in the Italian language.

Here are some examples:

Ecco la nostra risposta
hxxp://premiumsqueezepagetemplates.com/documento/Documento.zip?_ID_****@****.com_3885915034

Buongiorno

La fattura deve essere pagato fino alla prossima settimana
hxxp://pr5links.net/invoice/Richiesta.zip?_ID_****@****.be_0186106855

Grazie per la vostra collaborazione!
Tel./Fax.: (051) 960 79 62

Gentile Cliente Business, philip@heyninckkachels.be

Abbiamo impoformation sulla tua banca.

Motivi clicca qui:
hxxp://propeciaonline.biz/fattura/Documento.zip?_ID_****@****.be_722433
per visualizzare le informazioni.

Cio include informazioni sulla banca acquirente (se applicabile), come i vostri conti
e prestiti sono interessati, e in che modo i fornitori possono presentare crediti nei confronti della curatela.

Gentile utente,

Rendimento e ridotto.
Ti chiediamo di scaricare la documentazione ed inviarla ai vostri superiori.
hxxp://promo-tec.com/dettagli/debito.zip?_ID_****@****.com_6257953

Gentile,

Il tuo account e stato cambiato
Si prega di leggere le informazioni:
hxxp://projetasarim.net/ordine/fattura.zip

Il tasso percentuale nel prossimo mese verra cambiato.
Le informazioni contenute in questo documento per
hxxp://promo-tec.com/documento/Dettagli.zip

Ciao,

RingraziamoLa per ordine dei biglietti tramite la nostra sistema elettronica,
Dalla sua carta di credito e’ stato preso 210 euro.
Grazie.

Dettagli del Suo ordine
hxxp://promo-tec.com/documento/fattura.zip?_ID_****@****.be_6151872879

Distinti saluti,
Tel./Fax.: (095) 833 28 73
Ticket Service.

The trojan is known as Gen:Variant.Kazy.67121 (BitDefender), Gen:Variant.Kazy.67121 (F-Secure), PWS-Zbot.gen.xc (McAfee), Troj/Zbot-BRU (Sophos).

The following files will be created:

%AppData%\Epot\ekup.exe
%AppData%\ucut.izn
%Temp%\tmp1abbac05.bat

The following directory is created:

%AppData%\Epot

New processes are created on the system:

cmd.exe

Several Windows registry changes will be exectued and the trojan can establish connection with the IP 72.14.204.147 on port 80:

At the time of writing, 20 of the 42 AV engines did detect the trojan at Virus Total.

Virus Total permalink and SHA256: b78c094b662f6aed75b48d0c4fcc6d5f302e59af9b9dabefb274c4828d65b9e0.

One thought on “Emails with embedded URL ***.zip downloads malicious file

Comments are closed.