New trojan variant in emails from Deutsche Post regarding a parcel delivery issue


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Deutsche Post.Holen Sie ihre Postsendung ab”.

The email is send from the spoofed address “Deutsche Post <postzustellung@deutschepost.de>” and has the following body:

Lieber Kunde,

Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.
Grund: Ein Fehler in der Leiferanschrift.
Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.
Anbei finden Sie einen Postetikett.
Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.

Vielen Dank!
Deutsche Post AG.

The attached ZIP file has the name Postetikett_Deutsche_Post_AG_DE355-35.zip and contains the 59 kB large file Postetikett_Deutsche_Post_AG_DE355-35.exe.

The trojan is known as W32/Falab.G8.gen!Eldorado, Trj/Genetic.gen or a variant of Win32/Kryptik.AILV

At the time of writing, only 4 of the 42 AV engines did detect the trojan at Virus Total.

Virus Total permalink and SHA256: 5707a84685a5f5275d6401ae41f02986f29dd4c54998a0c90f0cb58155749fd9.

One thought on “New trojan variant in emails from Deutsche Post regarding a parcel delivery issue

Comments are closed.