Emails with embedded URL informationen_zum_transaktions_pdf will download malicious ZIP archive


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subjects like:

Ihre Zahlung an #403-R7/9469 – Bestätigung
Bestätigung Ihrer Zahlung an #74-Z1/4

This email is send from the spoofed address and has the following body:

Group Data Protection Officer Fiducia IT AG Eckhard Dorn

Der Auftrag wurde entgegengenommen.
11. Juni 2014 um 08:37:59 Uhr

Sie haben eine Zahlung über 1744,25 EUR an Edijs Snezko gesendet. Wir haben die Volksbank benachrichtigt, dass der Artikel verschickt werden kann. Alle Details zu dieser Zahlung:
2014_06_11informationen_zum_transaktions_pdf_#317-N94/3.zip.

FinanzGruppe Fiducia AG

Der Auftrag wurde entgegengenommen.
am 11. Juni 2014 um 08:57:56 Uhr

Sie haben eine Zahlung über 1725,32 EUR an Inga Wisniewska überwiesen. Wir haben den Volksbank benachrichtigt, dass der Artikel verschickt werden kann. Alle Details zu dieser Zahlung:
2014_06_11informationen_zum_transaktions_pdf_#557-B6/4965.zip.

The embedded URLs, in this case hxxp://jeitopratudo.com/wp-includes/pomo/transaktions-id-volksbanken-de and hxxp://fretsya.com/2014_06_11/transaktions-id-volksbanken-de will download the file 2014_06informationen_zum_transaktions_pdf.zip. The ZIP archive contains the 150 kB large file informationen_zum_transaktions_2014_06_10_02092083044_volksbank.exe.

The trojan is known as Trojan.Malware.Obscu.Gen.002 or HEUR/Malware.QVM20.Gen

At the time of writing, 2 of the 51 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink and Malwr permalink for more detailed information.
SHA256: dcda16d7982d85597fff2a63577c939e37c1e3cedc79974f2c23ec3cfba711a2.