Uncovered claim “Rechnung 94523151 vom 26.09.2014” by PayPal is fake and contains trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Rechnung 94523151 vom 26.09.2014”

This email is send from the spoofed address on the 163 domain and has the following body:

Sehr geehrter Kunde Dirk Ketele,

Sie haben eine ungedeckte Forderung beim Unternehmen Paypal GmbH. Ihre Bank hat die Lastschrift zurück buchen lassen. Unsere Forderung ist damit offen und rechtens.

Namens unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung sofort zu begleichen. Aufgrund des bestehenden Zahlungsverzug sind Sie verpflichtet dabei, die durch unsere Tätigkeit entstandenen Gebühren von 42,42 Euro zu tragen. Die Zahlung erwarten wir bis zum 29.09.2014. Für Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der Frist wird die Akte dem Staatsanwalt und der Schufa übergeben. Die vollständige Kostenaufstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Mit besten Grüßen

Sachbearbeiter Schongauer Max

The attached ZIP file has the name Nicht gedeckten Zahlung Ihrer Bestellung Paypal vom 26.09.2014.zip that contains another ZIP archive Forderung stornierten Zahlung Ihrer Bestellung Paypal vom 26.09.2014.zip that will contain the 104 kB large file Rechnung 26.09.2014 – Sachbearbeiter Paypal GmbH.com.

The trojan is known as UDS:DangerousObject.Multi.Generic, BehavesLike.Win32.PWSZbot.cc or HEUR/Malware.QVM19.Gen.

At the time of writing, 3 of the 54 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink for more detailed information.
SHA256: 10db6545557fac0a5d30c18e1873057bb37fe30e027bd0eaa0e2d747a93b201a

Update 26/09/2014:

MX Lab also intercepts variants with the subject “Lastschrift konnte nicht vorgenommen werden 26.09.2014” regarding an unpaid invoice for Facebook. The email has a trojan attached with the same details as mentioned above.

Sehr geehrte/r Wolfgang Huhn,

Sie haben eine nicht beglichene Rechnung bei unseren Mandanten Facebook AG. Ihre Bank hat die Lastschrift storniert. Unsere Forderung ist damit offen und rechtens.

Namens unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung unverzüglich zu begleichen. Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandenen Kosten von 35,25 Euro zu tragen. Wir erwarten die Zahlung einbegriffen der Zusatzgebühren bis zum 29.09.2014 auf unser Bankkonto. Für Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Positionen entnehmen können, fügen wir bei.

Mit besten Grüßen

Abrechnung Frank Florian

One thought on “Uncovered claim “Rechnung 94523151 vom 26.09.2014” by PayPal is fake and contains trojan

Comments are closed.