AT/74427678 RECHNUNG email with URL to online invoice will download W32/Emotet.AB!tr trojan

MX Lab,, started to intercept a new trojan distribution campaign by email with the subjects like:

AT/74427678 RECHNUNG
AT/74421616 RECHNUNG
FB/35059843 RECHNUNG
DE/81023509 RECHNUNG

This email is send from the spoofed addresses and has the following body:

Guten Tag **********,

bitte beachten Sie, dass Sie sich Ihre Rechnung selbst ausdrucken können.

Ihre gewählte Zahlungsmethode, Kontodaten sowie Zahlungsziel finden Sie auf der Rechnung.


Sollten Sie Ihre Rechnung per Überweisung zahlen, bitte als Zahlungsgrund Ihre Rechnungsnummer angeben. Nach Eingang der Zahlung bekommen Sie eine Zahlungsbestätigung per Email.

Mehdi Guebla

The URL leads to hxxp:// where the file is downloaded that contains the 168 kB large file de_0000239029_rechnung_scan_hp_28_0000000904_page_2_10_01_05_id_00291002098.

The trojan is known as W32/Emotet.AB!tr which tries to download other malware from the internet. The trojan will create the process wwcuhldh.exe and modify the Windows registry, it will make connection with the host on port 8080 and on port 443.

At the time of writing, 1 of the 56 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink or the Malwr permlink for more detailed information.
SHA256: 8934c1983acc33f3ae7a8c76c7c4ad2909f251b8ada3438096789d1a81b6186c