Fake email from DPD Poland courier services contains trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Informacja” or “Kurier DPD”.

This email is send from the spoofed address “KurierDPD4@dpd.com.pl” and has the following body:

Szanowni Państwo,

W dniu dzisiejszym zostanie Panstwu doreczona przesylka o numerze
0000024637925W z pobraniem 300 PLN.

DPD Polska, oddzial STW , Telefon do kuriera 502728311

Pomyśl o środowisku! Nie drukuj tej wiadomości jeśli nie jest to
konieczne.

Informujemy, że niniejsze powiadomienie zostało wygenerowane i przesłane
automatycznie.

________________________________________________________________________

DPD Polska Sp. z o.o., 02-274 Warszawa, ul. Mineralna 15

Spółka wpisana do rejestru przedsiębiorców w Sądzie Rejonowym dla m.
st. Warszawy

XIII Wydzial Gospodarczy Krajowego Rejestru Sadowego,

KRS nr 0000028368, NIP: 526-020-41-10, kapitał zakładowy: 88.604.000 PLN.

_________________________________________________________________________

The attached ZIP file has the name Informacja o przesyłce n.000014253821V.pdf.zip and contains the 109 kB large file Informacja o przesyłce n.000036299820I.pdf.exe.

The trojan is known as Trojan.Agent.BFPL, W32/Trojan.YLAA-1919, Win32/TrojanDownloader.Zurgop.BK, Troj/Inject-BD or Trojan/Win32.Necurs.

At the time of writing, 19 of the 55 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink for more detailed information.
SHA256: bb09495f2d7e3ac77e94b0af151c4f5f927332aae0f587467dd9a717530defde