Fake email from T Mobile with online invoice for January 2014 leads to malware


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 705337778374408610 vom 14.01.2014 des Kundenkontos 997221332653.”.

This email is send from the spoofed address “Telekom Leiter Kundenservice <web821p6@relay01.alfahosting-server.de>” and has the following body:

Ihre Rechnung für Januar

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2014 beträgt: 347.88 Euro. Wir bitten Sie, die Rechnung zu begleichen. Details zur Ihre Rechnung können Sie hier ansehen:

Download Mitteilung, Rechnungsrückstände 155888710212691289 Telekom Deutschland GmbH vom 14.01.2014

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse.

Informationen über die Umstellung auf den einheitlichen Euro-Zahlungsverkehrsraum SEPA finden Sie hier.

Speziell für Sie: Möchten Sie zukünftig Informationen über neue Produkte und Tarife erhalten, melden Sie sich zu unserem kostenlosen Informationsservice an.

Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice

The email itself looks genuine because of the used lay out in the email:

There is no attached file but the embedded URL leads to hxxp://byuhera.ru/telekom/. When requesting this URL, the browser will ask you to download the file Rechnungsruckstande_9698169830015295.zip and once extracted, the file 172 kB large file Mitteilung, Rechnungsruckstande 9901169820005294 Telekom Deutschland GmbH vom Januar 2014.exe is available.

At the time of writing, none of the 48 AV engines at Virus Total detected the threat.

Use the Virus Total permalink and Malwr permalink for more detailed information.
SHA256: dee2fa8dd6e24c90f4176f13654e0f0fe086931c78169d6e9d459e8dbbe2c730.

One thought on “Fake email from T Mobile with online invoice for January 2014 leads to malware

Comments are closed.