New fake KPN email regarding invoice contains URL that downloads new trojan variant


MX Lab, http://www.mxlab.eu, started to intercept a new malware distribution campaign by email with the subject “Uw factuur”.

This campaign has the same characteristics as the previous campaign New fake KPN email regarding invoice contains URL that downloads trojan. This fake email has the KPN branding and is written in Dutch and based on the recipients, targeting customers in Belgium and the Netherlands (.be and .nl domains).

This email is send from the spoofed address “KPN <KPN-betaalafspraak@kpn.com>” and has the following body:

KPN
Geachte ******@*********.nl,3491254654551

Deze maand is uw factuur in totaal € 551,27. De specificaties van de factuur vindt u in de bijlage.3491254654551

Downloaden Factuur3491254654551
Overzicht van al uw facturen in MijnKPN
3491254654551
Wilt u een overzicht van al uw facturen of uw persoonlijke instellingen bekijken? Klik dan hier om naar MijnKPN te gaan. Dit is uw persoonlijke en beveiligde KPN omgeving.

Uitleg van uw factuur
3491254654551
Klik hier voor uitleg over uw factuur.3491254654551

Veelgestelde vragen
Hebt u nog vragen over uw factuur en de betaling ervan, kijk dan op kpn.com/factuur. Hier vindt u informatie over veelgestelde vragen zoals: de opbouw van de factuur, de betalingsmogelijkheden, de factuur online bekijken en hoe u wijzigingen doorgeeft.

Met vriendelijke groet,

Bob Mols
Directeur Klantenservice
N.B. dit is een automatisch verzonden e-mail, het is niet mogelijk deze e-mail te beantwoorden.3491254654551

Kent u KPN Compleet al? Hoe meer u combineert, hoe meer voordelen u krijgt. Kijk voor meer informatie op kpn.com/krijgmeer3491254654551

KPN Compleet voordelen

KvK Den Haag nr. 254345551, NL00922056B551

Avast logo
Dit e-mailbericht is gecontroleerd op virussen met Avast antivirussoftware.
http://www.avast.com

The URL downloads file Factuur 00938454-0037429.zip, which contains the file Factuur 00938454-0037429.pdf.exe, from the location hxxp://mariscorp.com/modules/factuur/?551.

The malware is detected by 2/56 AV engines at Virus Total and the analysis is available on Malwr.