Fake emails from DHL and Deutsche Post regarding order with Rechnung zu Ihrer Bestellung.exe in ZIP archive is trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign of fake emails from DHL and Deutsche Post regarding an order. Several different version of this email are intercepted but they all contain the file Ihrer Bestellung.exe in an attached ZIP archive.

Auftragsübersicht/Rechnung Nachsendeservice 27.10.2014

This email is send from the spoofed address “avis@dhl.com”, with the reply address “Gutscheine@deutschepost.de”, has the subject “Auftragsübersicht/Rechnung Nachsendeservice 27.10.2014” and has the following body:

Sehr geehrte Damen und Herren,

herzlichen Dank für Ihre Internet-Beauftragung NACHSENDESERVICE für Briefsendungen. Der Rechnungsbetrag in Höhe von 24,60 € (siehe anhängende Datei)

Mit freundlichen Grüßen
Ihr Deutsche Post Online-Team

The attached ZIP file has the name Rechnung_zu_Ihrer_Bestellung.zip.

Ihr DHL Paket 9234500900001 wurde bei Ihrem Nachbarn hinterlegt

This email is send from the spoofed address “trackandtrace@deutschepost.de”, with a reply to address “datenschutz@dhl.de”, has the subject “Ihr DHL Paket 9234500900001 wurde bei Ihrem Nachbarn hinterlegt” and has the following body:

Guten Tag,

Ihre Internet-Beauftragung NACHSENDESERVICE für Briefsendungen finden Sie im Anhang.

Freundlich grüßt Sie
Ihre Deutsche Post

The attached ZIP file has the name Rechnung_zu_Ihrer_Bestellung.zip.

Vielen Dank für Ihre Internet-Beauftragung NACHSENDESERVICE für Briefsendungen vom 24.10.2014.

This email is send from the spoofed address “avis@dhl.com”, has the subject “Vielen Dank für Ihre Internet-Beauftragung NACHSENDESERVICE für Briefsendungen vom 24.10.2014.” and has the following body:

Sehr geehrte Kundin!

vielen Dank für Ihre Internet-Beauftragung NACHSENDESERVICE für Briefsendungen Deutsche Post eFiliale – Ihre Postfiliale im Internet

Herzliche Grüße,
Ihre Postfiliale im Internet

The attached ZIP file has the name RG64575763D875673.zip.

Statusbenachrichtigung zu dem Paket OTTO mit der Sendungsnummer 9234500900001

This email is send from the spoofed address “paket@dhl.de”, with a reply address to “contact@deutschepost.de”, has the subject “Statusbenachrichtigung zu dem Paket OTTO mit der Sendungsnummer 9234500900001” and has the following body:

Liebe Kundin, lieber Kunde,

Ihre Bestellung ist jetzt abgeschlossen. (siehe anhängende Zip-Datei)

Mit freundlichen Grüßen,
Ihre Postfiliale im Internet

The attached ZIP file has the name RG64575763D875673.zip.

All the ZIP archives have the file 295 kB large file Rechnung zu Ihrer Bestellung.exe enclosed.

The trojan is known as Troj.Dropper.W32.Injector, W32/Trojan.RSBA-6758, W32/Trojan3.LRO,  Troj/Agent-AJPG or TR/Bublik.A.82.

At the time of writing, 7 of the 54 AV engines did detect the trojan at Virus Total.

Details of the emails like the spoofed senders address, subject and contents ma vary at any time.

Use the Virus Total permalink for more detailed information.
SHA256: b4e898a19c81e11ad35aa0fae84e4c316888e1eda6f2b42224c8e7def43adcfd