New Word malware: Rechnung 2015-18637 from mpsmobile GmbH


MX Lab, http://www.mxlab.eu, started to intercept a new malware distribution campaign by email with the subject “Rechnung 2015-18637”.

This fake email is send from the spoofed address “mpsmobile GmbH <info@mpsmobile.de>” and has the following body:

Sehr geehrte Damen und Herren,

anbei erhalten Sie das Dokument ‘Rechnung 2015-18637′ im DOC-Format. Um es betrachten und ausdrucken zu können, ist der DOC Reader erforderlich. Diesen können Sie sich kostenlos in der aktuellen Version aus dem Internet installieren.

Mit freundlichen Grüssen
mpsmobile Team

___________________________________

Dear Ladies and Gentlemen,

please find attached document ”Rechnung 2015-18637’ im DOC-Format. To view and print these forms, you need the DOC Reader, which can be downloaded on the Internet free of charge.

Best regards
mpsmobile GmbH
mpsmobile GmbH
Brühlstrasse 42
88416 Ochsenhausen
Tel: +49 7352 923 23 0
Fax: +49 7352 923 23-29
Email: info@mpsmobile.de

Handelsregister Amstgericht ULM HRB 727290
Sitz der Gesellschaft: Ochsenhausen
UStIDNr: DE 281079008

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.

The attached file 19875_Rechnung_2015-18637_20151222.doc is a Word file with malicious macro

The malware is detected as HEUR.VBA.Trojan, Macro.Trojan-Downloader.Agent.KF or heur.macro.download.cc by 3 of the 55 AV engines at Virus Total.

Use the Virus Total or HybridAnalysis for more detailed information.
SHA256: 6bb25dfb7dddda3652e0b42f6f4a4793fb74bdd752c85f19329c207d70a8adca

The payload is downloaded by the macro from one of the following host:

realcorretora.net/87tf65/987tr4d.exe
ezcontribution.net/87tf65/987tr4d.exe
ezcontribution.net/87tf65/987tr4d.exe

The malware is detected by 0 of the 53 AV engines at Virus Total.

Use the Virus Total or HybridAnalysis for more detailed information.
SHA256: fdb1520c53f9a20e9c0fd7d139395f5247d728c1603b7f25db18e86fb8042f06

One thought on “New Word malware: Rechnung 2015-18637 from mpsmobile GmbH

Comments are closed.