Fake email Transaktions Volksbank eG contains URL that will download trojan in ZIP archive


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Transaktions Volksbank eG, 20.01.2014,” followed by a randomly generated number in the format “Nr512145855-83491”.

This email is send from the spoofed address “Volksbanken <****@****.***>” and has the following body:

Information zu: Überweisung/Umbuchung

Empfänger: Sing Grundstuecksverwaltung NI
IBAN/Kontonummer: DE86645250000773125968
BIC/BLZ: GENODES1TSB
Bei Kreditinstitut: HEIDENHEIMER VOLKSBANK NI HEIDENHEIM (BRENZ)
Betrag in EUR: 1747,47
Verwendungszweck: Beitrag 2014 Nr453410-3213
Auftraggeber (Kontoinhaber): Sing Grundstuecksverwaltung NI

Verwendete TAN: 875113
Ihren Auftrag haben wir entgegengenommen.
______________________________________________________________

Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
Weitere Informationen zum Transaktions Volksbank bG.


This email was Virus checked by Microsoft Security Essentials. Mail wurde auf Viren geprüft.

The email doesn’t has an ZIP archive attached but only contains a link to hxxp:talentus.ru/volksbank_eg/. At this point, a download will start of the file Weitere_Informationen_zum_Transaktions_Volksbank.zip. Once extracted, the file 180kB large file Information zu #600694254190775929 Fiducia deutschland, Fiduciastraße 20, 76227 Karlsruhe, Germania.exe is available.

The trojan is known as PWSZbot-FPK!C8F325DEA240 or TROJ_GEN.F47V0120.

At the time of writing, 3 of the 49 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink and Malwr permalink for more detailed information.
SHA256: 2dceaf668d7d0e47cdf4dcd94eb061b761db339881d2dcb2b6fc21aab3e9a09f.