Fake “Ihre Telekom Mobilfunk RechnungOnline Monat November 2014” emails leads to malware


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subject “Ihre Telekom Mobilfunk RechnungOnline Monat November 2014 Nr. 50662087582088”.

This email is send from the spoofed address “Telekom <info@********.com>” and has the following body:

Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat November,
Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 9903599055 vom 07.11.2014 des Kundenkontos 8323990355).

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 794100576531
WEEE-Reg.-Nr.: 367557846100

In this sample, the embedded URL takes us to hxxp://cnibrewards.ca/UE7MphqL where we download the file 2014_11rechnung_K4768955881.zip that contains the 226 kB large file 2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.pdf.exe.

Numbers in the subject and/or file name may vary.

The trojan is known as Gen:Variant.Strictor.68477, HW32.Packed.4F7E, PE:Malware.XPACK-HIE/Heur!1.9C48 or Win32.Trojan.Bp-generic.Ixrn.

At the time of writing, 9 of the 54 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink for more detailed information.
SHA256: 5d728f4cd2051cf270a704e9f04735fbd8e9c208a01a2c2665ddc5a87e572aa1

One thought on “Fake “Ihre Telekom Mobilfunk RechnungOnline Monat November 2014” emails leads to malware

Comments are closed.