Fake “RechnungOnline Monat Juni 2014″ emails from Telekom Deutschland GmbH contain trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign, very similar to the previous one RechnungOnline Monat Mai 2014 campaign, by email with the subject RechnungOnline Monat Juni 2014 (Buchungskonto: 4767393428) – number may vary at the end of the subject.

This email is send from the spoofed address “Telekom Deutschland” and has the following body:

TELEKOM DEUTSCHLAND GMBH

Sehr geehrte Damen und Herren,

als Anlage ist die Rechnung 659084703763 als PDF-Anhang:
2014_06rechnung_Juni_659084703763.zip.

Der Rechnungsbetrag für Juni 2014 ergibt sich zu: 272,85 Euro.

Mit freundlichen Grüßen
Ihre Telekom

© Deutsche Telekom AG 2014 | Hilfe | Kontakt | Datenschutz | AGB | Impressum
Sie erhalten diese Systeminformation, da Sie versuchen, über eine unverschlüsselte Verbindung auf Ihr Postfach zuzugreifen.
Es handelt sich um eine aus dem System generierte Nachricht.
Sie haben eine Frage an den Kundenservice? Dann nutzen Sie bitte unser E-Mail Kontaktformular.

Screenshot of the email:

The embedded URL leads us to hxxp://wigs86.com/t-online-telekom-de from where the file with the name 2014_06rechnung_0020273640_sign.zip is downloaded. The ZIP archive contains the 93 kB large file 2014_06rechnung_0020273640_sign_telekom_deutschland_gmbh.exe.

The trojan is known as Trojan.Malware.Obscu.Gen.002, Packed.Win32.Katusha.3!O or Mal/Generic-S.

At the time of writing, 3 of the 53 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink and Malwr permalink for more detailed information.
SHA256: b6151946d75e5ec00414435975457fbc9f296d327138fba88efa11dc2a0b7688.