Fake email “Avis de Paiement” from HSBC contains trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Avis de Paiement”.

This email is send from the spoofed address “HSBC France <Avis.de.Paiement@hsbc.fr>” and has the following body in French:

Bonjour Monsieur / Madame ,
A votre demande, veuillez trouver ci joint le paiement e-conseils pour votre reference.

Cordialement

HSBC France

IMPORTANT : N’UTILISEZ PAS LA FONCTION “repondre a” ,
LAQUELLE NE NOUS PERMET PAS DE TRAITER VOTRE DEMANDE.

Vous pouvez telecharger gratuitement la derniere version du logiciel Acrobat Reader a partir du site d’Adobe a l’adresse suivante : http://www.adobe.fr/products/acrobat/readstep2.html

Ce message et toutes les pieces jointes (ci-apres le « Message) sont confidentiels et etablis a l’intention exclusive de ses destinataires. Toute modification, edition, utilisation ou diffusion non autorisee est interdite. Si vous avez recu ce Message par erreur, merci de nous en avertir immediatement. HSBC et ses filiales declinent toute responsabilite au titre de ce Message s’il a ete altere, deforme, falsifie ou encore edite ou diffuse sans autorisation.

The attached ZIP file has the name AvisDePaiement.zip and contains the 20 kB large file AvisDePaiement.scr.

The trojan is known as W32/Trojan.TRRQ-5643, Trojan-Downloader.Win32.Upatre (A), W32/Agent.A4FD!tr, Artemis!87DB04ED7233 or HEUR/Malware.QVM20.Gen.

At the time of writing, 9 of the 51 engines did detect the trojan at Virus Total.

Use the Virus Total permalink and Malwr permalink for more detailed information.
SHA256: b385d344b03cab88892d1e76319e265c0c0ced93632ed0b355776acc73e834d3

One thought on “Fake email “Avis de Paiement” from HSBC contains trojan

Comments are closed.