Fake email from Intrum Justitia “Uw factuur” leads to malware


MX Lab, http://www.mxlab.eu, started to intercept a new malware distribution campaign by email with the subject “Uw factuur”. The email is fake, is written in Dutch and targets email recipients in the Netherlands and Belgium.

This email is send from the spoofed address “Intrum Justitia <no_replyincasso@serverintrum.com>” and has the following body:

Behandeld door : Factuur Internet
Direct tel. nr. : 082 – 453 75 39

Openstaande vordering, BELANGRIJK!
Geachte ******@******.be,

In de bijgevoegde factuur verwijzen wij u naar de eerder ontvangen herinnering(en). Wij stellen u hierbij
de gelegenheid om het verschuldigde bedrag van €661,89 met rente binnen 9 dagen te voldoen op
ons IBAN-rekeningnummer NL72ABNA0511866167390 t.n.v. St. Derdengeleden Intrum Justitia Nederland B.V.
onder vermelding van het referentienummer.

Downloaden Factuur

Blijft betaling uit, dan zijn wij genoodzaakt cliënt te adviseren om over te gaan tot het opstarten van een
gerechtelijke procedure. De kosten die hieruit voortvloeien zullen geheel voor uw rekening komen.
Voor directe betaling en meer informatie over deze vordering gaat u naar onze website
U kunt hiervoor de gegevens gebruiken die op de factuur staan vermeld. U kunt hier
ook terecht voor overige vragen.

Hoogachtend,
Intrum Justitia,

The embedded URL leads to hxxp://aa.rs/intrum/?1069 where the file Factuur 002923456-4005816.zip is downloaded which contains the malware file Factuur 002923456-4005816.pdf.exe.

The malware is detected by 7/57 AV engines at Virus Total and the analysis is available on Malwr.