New fake KPN email regarding invoice contains URL that downloads trojan


MX Lab, http://www.mxlab.eu, started to intercept a new malware distribution campaign by email with the subject “Uw factuur”. This fake email contains an URL that will download a ZIP archive that contains an executable.

Althought the logo and a KPN lay out is embedded in the email, this email doesn’t originate from KPN. The Dutch email is, according to our logs, sent to .nl and .be domains and therefore targeting specific recipients and perhaps KPN clients.

This email is send from the spoofed address “KPN <KPN-betaalafspraak@kpn.com>” and has the following body:

KPN
Geachte info@entre-prises.nl,3491254654874

Deze maand is uw factuur in totaal € 874,27. De specificaties van de factuur vindt u in de bijlage.3491254654874

Downloaden Factuur3491254654874
Overzicht van al uw facturen in MijnKPN
3491254654874
Wilt u een overzicht van al uw facturen of uw persoonlijke instellingen bekijken? Klik dan hier om naar MijnKPN te gaan. Dit is uw persoonlijke en beveiligde KPN omgeving.

Uitleg van uw factuur
3491254654874
Klik hier voor uitleg over uw factuur.3491254654874

Veelgestelde vragen
Hebt u nog vragen over uw factuur en de betaling ervan, kijk dan op kpn.com/factuur. Hier vindt u informatie over veelgestelde vragen zoals: de opbouw van de factuur, de betalingsmogelijkheden, de factuur online bekijken en hoe u wijzigingen doorgeeft.

Met vriendelijke groet,

Bob Mols
Directeur Klantenservice
N.B. dit is een automatisch verzonden e-mail, het is niet mogelijk deze e-mail te beantwoorden.3491254654874

Kent u KPN Compleet al? Hoe meer u combineert, hoe meer voordelen u krijgt. Kijk voor meer informatie op kpn.com/krijgmeer3491254654874

KPN Compleet voordelen

KvK Den Haag nr. 254345874, NL00922056B874

Avast logo
Dit e-mailbericht is gecontroleerd op virussen met Avast antivirussoftware.
http://www.avast.com

Screenshot of the email:

Notice that at the end of the email the disclaimer is included that the message is free of viruses and has been checked with the Avast anti virus software. Companies will never include a disclaimer referring to an AV package but they will use their own custom disclaimer.

The text “Downloaded Factuur” is the embedded URL that leads to hxxp://aindien.com/wp-content/kpn/?874 and downloads the ZIP archive Factuur 07437-38483.zip. Once extracted, the file Factuur 07437-38483.pdf.exe is shown.

The malware is detected by 4/55 engines at Virus Total and the Malwr report shows the details of this trojan.

One thought on “New fake KPN email regarding invoice contains URL that downloads trojan

Comments are closed.