Fake KPN email regarding invoice contains malicious URL


MX Lab, http://www.mxlab.eu, started to intercept a new malware distribution campaign by email with the subject “Uw factuur” towards various .be and .nl domains.

This campaign has more or less the same characteristics as the campaign on the 24th March Fake email KPN regarding invoice contains trojan but the email is slightly different from lay out and contents but more important, the payload isn’t attached to the email but will be downloaded.

This email is send from the spoofed address “”noreply@kpn.com” <noreply@kpn.com>” and has the following body:

Factuur Zakelijk Internet

Geachte ******@**********.be,

Bijgaand ontvangt u uw factuur van KPN.

Hebt u nog vragen?
Kijk op kpn.com/zakelijkefactuur. U vindt hier uitleg over uw factuur en kunt er chatten met een van onze medewerkers. Zij helpen u graag.

Met vriendelijke groet,

Joost Steltenpool
Directeur Products & Marketing
Zakelijke Markt

Service > Uw factuur klopt niet. Wat kunt u doen?!
> Uw gegevens wijzigen
> Uitleg over uw factuur
KvK Den Haag nr. 27124701, NL 009292056B01

N.B. Dit is een automatisch verstuurd bericht. Dat betekent dat een antwoord op deze e-mail niet wordt gelezen. Om de factuur goed te kunnen bekijken, hebt u Acrobat Reader nodig. De meest recente versie van dit programma kunt u hier gratis downloaden.

Screenshot of the email:

The embedded URL hxxp://sms.inteleset.com/personal/www.kpn.com/private/klantenservice/factuur-en-betaling.htm dowloands the file Factuur 0000782-8374878.zip that once extracted contains the malicious executable Factuur 0000782-8374878.PDF.exe.

The malware is detected by X/54 AV engines at Virus Total. Detailed analysis is available on Malwr.