Fake Dutch emails from Intrum Justitia contain Word document with malicious macro


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the the following subjects:

Den Haag – Intrum Incasso
Den Haag Incasso Nederland.
INCASSO NEDERLAND.
*INCASSO* NEDERLAND.

This email is send from the spoofed address “TELECOM <bdiu@inkasso.nl>” and has the following body:

Welkom bij Intrum Justitia.

Dossierinformatie

Naam opdrachtgever TELECOM B.V.
Status dossier Lopend
Behandelaar bij Intrum Justitia Afdeling Schuldbewaking
Telefoonnummer behandelaar 070 – 356 9220

Hier kunt u inloggen om uw aanmaning online te bekijken.
U ziet meteen de gegevens van uw aanmaning en u kunt direct via iDeal betalen. Daarnaast is het mogelijk om online te reageren of uw gegevens te wijzigen.
Het online reageren bevordert een vlotte behandeling van uw reactie. Ook vindt u diverse links die u kunnen helpen met informatie over schulden, betalingen en algemene voorwaarden. Staan er geen inloggegevens op uw aanmaning?
Neem dan contact op via het telefoonnummer in de brief.

Originele hoofdsom:

Vestigingsadres:

Johan de wittlaan 65
5467 JR Den Haag

The attached ZIP file has the name Order5611041107.zip and contains the 112 kB large file Order5611041107.doc. the numbers may vary and in some samples, the malicious Word document is attached directly in the email itself.

The malicious file is recognised as Troj/DocDl-AX or TROJ_MDROP.PR.

The Word document contains a macro that will download other malicious programs on the computer.

At the time of writing, 2 of the 53 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink for more detailed information.
SHA256: 25129e0663910755e0daf8eec9319637e4e351ed979dcd86a462577e837f6563