Fake email in Dutch from DHL with attached invoice contains trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “DHL_factuur 6060550”, send from the spoofed address “billing.service@dhl.nl” and has the following body:

DIT IS EEN AUTOMATISCH GEGENEREERD BERICHT, GELIEVE DEZE NIET TE BEANTWOORDEN
Geachte klant,

Hierbij ontvangt u uw recentste DHL factuur in PDF formaat, d.d. 16/09/2013 voor diensten verleend door DHL Express.

Indien u uw factuur in een ander formaat wilt downloaden.

amscadesk@dhl.com or 0800 – 0552 (option 1-1-4)

Mocht zich een probleem voordoen in het openen van de bijlage, neemt u dan voor assistentie alstublieft contact op met DHL via 0800 023-0278

.

Graag ontvangen wij uw betaling volgens de afgesproken betalingsvoorwaarden zoals op uw factuur staan aangegeven.

Hartelijk dank.

Met vriendelijke groet,

Het DHL Billing Team

adobe.com om Adobe Acrobat Reader te downloaden

DHL of DHL medewerkers zullen U nooit uw wachtwoord vragen via email. De enige plaats waar men uw wachtwoord vraagt is als u aanlogt voor e-billing op onze webstie. U zal steeds aanloggen via een beveiligde connectie De e-mails die u ontvangt zijn automatisch gegenereerd. Gelieve deze dus niet te beantwoorden.

The attached ZIP file has the name factuur.PDF.16.09.2013.zip and contains the 185 kB large file factuur.PDF.16.09.2013.pdf.exe.

The trojan is known as Worm:Win32/Gamarue, Backdoor.Win32.Androm.asas, Win32/Injector.AMYI, TROJ_GEN.F0D1H0ZII13 or Malware-Cryptor.Inject.gen.2.

At the time of writing, 9 of the 49 AV engines did detect the trojan at Virus Total.

Virus Total permalink and SHA256: ab98dd71087d3f71801f123f51f6f19a24ae48dbc93fe24d7284eba7826927ac.