Fake UBS emails regarding negative bank balance leads to sites with obfuscated Javascript

MX Lab, http://www.mxlab.eu, started to detect and intercept a large campaign of fake emails from UBS AG regarding a negative bank balance of €1500 on the bank account.

The SMTP from address and from address in the emails are different. On SMTP level we have addresses coming from the domain @google.com. The from addresses in the email source itself are identical as the to email addresses. Most of the emails have up to 5 recipients in the header as well.

Possible subjects are:

Attention – débit sur votre compte bancaire UBS AG d’un montant de 1500 €.
Notification de la banque UBS AG : préparation du débit en cours.
Le débit d’un montant de 1500 € sur votre compte bancaire UBS AG sera effectué dans 24 heures.
Votre compte bancaire UBS AG sera débité de 1500 €.

Body of the email:

Chère cliente/Cher client,
Suite à vos instructions, nous allons débiter un montant de 1500 ˆ.
Le retrait des fonds s’effectuera dans 1 jour ouvrable.

Veuillez vérifier les données du compte du bénéficiaire.

En vous souhaitant une agréable journée,
Jaques Dermond,
Le Service client
UBS AG est heureux de mettre à votre service une équipe de consultants qualifiés pour traiter vos demandes et requêtes quotidiennes.

The embedded URL leads to different web sites that hosts the file inf.html. In our case we followed hxxp://www.egnegocios.ual.pt/inf.html and this page contains a redirect to hxxp://faceliftdubai.com/news/wanting_book_switch.php. This page contains the obfuscated Javascript.

MX Lab recommends not to follow any URLs from these fake notifications.

Comments are closed.


Get every new post delivered to your Inbox.

Join 2,180 other followers

%d bloggers like this: