New Word malware: Neue Abrechnung Nr. 840839


MX Lab, http://www.mxlab.eu, started to intercept a new malware distribution campaign by email with the subject “Neue Abrechnung Nr. 840839”.

This email is send from the spoofed addresses and has the following body:

Guten Tag

Im Anhang erhalten Sie die neue Rechnung des vergangenen Monates mit der Abrechnungsnummer 840839.

Für eine fristgerechte Bezahlung danken wir Ihnen. Bei Fragen oder Anregungen steht Ihnen unser Kundendienst gerne zur Verfügung.

Freundliche Grüsse
Ihr VoIP Provider

Dies ist eine automatisch generierte Nachricht. Antworten auf diese E-Mail können nicht bearbeitet werden.

The attached file INV7743-840839.docm is a Word file with malicious macro. Filenames may vary with each email.

The malware is detected by 7/56 AV engines at Virus Total. Malwr analysis shows that the file 98yh87nb6v4 is downloaded from the location hxxp://ecpi.ro/98yh87nb6v4.

The malware is detected by 2/54 AV engines at Virus Total and the analysis is available on Malwr.

Update 27/05/2016 – 13:20:

Other sources mention multiple download locations:

egadget.ru/98yh87nb6v4
www.samrhamburg.com/98yh87nb6v4
bridgeplacements.com/98yh87nb6v4
birlesimsucuklari.com/98yh87nb6v4
ecpi.ro/98yh87nb6v4
wondervalley.in/98yh87nb6v4
acnek.com/98yh87nb6v4
cacpa.org/98yh87nb6v4
cobrebactericida.org/98yh87nb6v4
greenwfms.com/98yh87nb6v4
iwebmediasavvy.com/98yh87nb6v4
projectodetalhe.pt/98yh87nb6v4
renaudsfurniture.ca/98yh87nb6v4
saintkatherine.orthodoxy.ru/98yh87nb6v4
www.orchidealito.it/98yh87nb6v4
www.ding-a-ling-tel.com/98yh87nb6v4

The trojan is identified as the Locky ransomware.