New Javascript malware in email DHL Express “Pakket gemist”

MX Lab,, started to intercept a new malware distribution campaign by email with the subject “Pakket gemist” targetting specific .nl domains.

This email is send from the spoofed address “DHL Express <>” and has the following body in Dutch:

DHL Express

Helaas, we hebben je gemist!

Er was niemand thuis toen onze bezorger bij je aan de deur stond. Met het afhaalbewijs kun je de zending afhalen op een service punt van DHL.

Afhaalbewijs bekijken

DHL Tracking – Waar is mijn pakket?
Met het afhaalbewijs kun je heel eenvoudig online via onze track & trace zien waar het pakket is.

DHL Express – Uw logistieke partner


DHL Klantenservice, 088 – 0552 100
E-mail naar een vriend Uitschrijven Uitschrijven Instellingen

© 2016 DHL Express Instellingen

© 2016 DHL Express

Screenshot email:

The embedded URL “Afhaalbewijs bekijken” leads to hxxp:// where the ZIP archive is downloaded and once extracted shows the file Afhaalbewijs184703920.js.

Another sample gives us the download URL hxxp:// Different URLs might be in use and filenaming can vary with each email.

The malicious Javascript file is detected as JS/Nemucod.ED!Eldorado by 5/52 AV engines at Virus Total. Malwr analysis shows that another file will be downloaded from hxxp://

The file e.exe is detected by 8/56 AV engines at Virus Total and the analysis is available on Malwr.

Leave a Reply

Fill in your details below or click an icon to log in: Logo

You are commenting using your account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s