Fake German Sparkasse emails regarding a transaction contain URL that downloads trojan


MX Lab, http://www.mxlab.eu, started to intercept a new trojan distribution campaign by email with the subjects like:

Auffällige Kontobewegung
Informationnen Kontobewegung
Kontobewegung

This email is send from the spoofed address “Sparkassen-Finanzportal GmbH <****@*****.***> and has the following body:

Guten Tag ‘******@*****.com’,

Auf Ihrem Konto #797152 wurde eine Bewegung von -2352 EUR verzeichnet. Für weitere Details siehe: Informationen Kontobewegung.

MFG, Sparkasse.

Guten Tag H**** V****,

Ihr Konto #663059 weist eine Abbuchung von 2659 EUR auf. Details finden Sie im Abbuchungsbericht: Abzug eines Euro-Betrags.

Mit freundlichen Grüßen, Ihr Sparkasse.

The embedded URL leads to a webhost to download the file Informationen_Kontobewegung_dezember_2014.zip. Once extracted, the 160 kB large file Informationen_Kontobewegung_dezember_2014_de_20_8139_237_90109238_000129_000028_05.exe is available that contains the trojan.

The trojan is known as SHeur4.CEIE, Trojan.Emotet.50, Spyware.Zbot.ED, Trojan:Win32/Emotet.C or Win32.Trojan.Inject.Auto.

At the time of writing, 7 of the 55 AV engines did detect the trojan at Virus Total.

Use the Virus Total permalink or Malwr permalink for more detailed information.
SHA256: 2c4ca41292c07252bb043dae7697a91c140ba9be82fac5cd62c9f9c802959e0d