Fake “RechnungOnline Monat Mai 2014” emails from Telekom Deutschland GmbH contain trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject RechnungOnline Monat Mai 2014 (Buchungskonto: 1585386946) – number may vary at the end of the subject.

This email is send from the spoofed address “Telekom Deutschland” and has the following body:

Ihre Rechnung für Mai

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Mai 2014 beträgt: 374,85 Euro.

Wir bitten Sie, die Rechnung zu begleichen. Details zur Ihre Rechnung können Sie hier ansehen:

2014_06rechnung_1462383531_sign.zip.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Telekom Deutschland GmbH
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 38413748945
WEEE-Reg.-Nr.: 4167303240

Screenshot of the email:

The embedded URL leads us to hxxp://pedicurepondes.nl/pdf_mail/online_kundencentertelekom from where the file with the name 2014_06rechnung_982874620200_sign.zip is downloaded. The ZIP archive contains the 127 kB large file 2014_06rechnung_982874620200_sign_telekom_deutschland_gmbh.exe.

The trojan is known as HW32.CDB.5f79, Trojan.Malware.Obscu.Gen.002, a variant of Win32/Kryptik.CDJE or Mal/Generic-S.

At the time of writing, 4 of the 52 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink and Malwr permalink for more detailed information.
SHA256: 80c10542907e89ed1f6fd5946e2a7c826e7266099542a4f2dceaeaa67ae50891.

2 thoughts on “Fake “RechnungOnline Monat Mai 2014” emails from Telekom Deutschland GmbH contain trojan

Comments are closed.