Fake invoice La Boutique Officielle contains obfuscated VBS script


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Confirmation du payement de votre facture #BH2011-581” targeting customers of laboutiqueofficielle.com.

This email is send from the spoofed address “id@laboutiqueofficielle.com” and has the following body:

Paris le, 22/09/2014

Veuillez trouver en pièce jointe votre facture de référence: facture FC-408185 (Fichier: facture-408185) au format ZIP.

Si vous n’avez pas WinRar (Logiciel permettant de lire les fichiers ZIP) vous pouvez le télécharger ici:
http://www.rarlab.com/download.htm
——————————-
Données du paiement
——————————
Site Internet : La Boutique Officielle
Référence de paiement : 417330634
Total : 320.00 EUR
Méthode de paiement : VISA
Marque secondaire : e-Carte Bleue
Statut : Autorisé
———————
Merci pour la confiance que vous nous accordez,

Le service comptabilité La Boutique Officielle

REMARQUE: MERCI DE NE PAS REPONDRE A CE MAIL, AUCUNE REPONSE NE VOUS SERA DONNEE.

The attached ZIP file has the name facture_145879001.zip and contains the 83 kB large file facture_145879001.vbs.

The malicious VBS script is known as virus.vbs.crypt.c or Troj/VBAgent-AB.

At the time of writing, 2 of the 55 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink for more detailed information.
SHA256: aaff3daa4ff0442612f7fc6c5cc379fd02d0f095de848ecc0a7bdf2ba4d15f8f