New Javascript malware in email DHL Express “Pakket gemist”


MX Lab, http://www.mxlab.eu, started to intercept a new malware distribution campaign by email with the subject “Pakket gemist” targetting specific .nl domains.

This email is send from the spoofed address “DHL Express <pakket-gemist@dhl-express.nl>” and has the following body in Dutch:

DHL Express

Helaas, we hebben je gemist!

Er was niemand thuis toen onze bezorger bij je aan de deur stond. Met het afhaalbewijs kun je de zending afhalen op een service punt van DHL.

Afhaalbewijs bekijken

DHL Tracking – Waar is mijn pakket?
Met het afhaalbewijs kun je heel eenvoudig online via onze track & trace zien waar het pakket is.

DHL Express – Uw logistieke partner

DHL

DHL Klantenservice, 088 – 0552 100
klantenservice@dhl.nl
E-mail naar een vriend Uitschrijven Uitschrijven Instellingen

© 2016 DHL Express Instellingen

© 2016 DHL Express http://www.dhl.nl
http://www.dhl.nl
http://www.dhl.nl

Screenshot email:

The embedded URL “Afhaalbewijs bekijken” leads to hxxp://dhl-pakket-gemist.ru/afhaalbewijs/ where the ZIP archive Afhaalbewijs184703920.zip is downloaded and once extracted shows the file Afhaalbewijs184703920.js.

Another sample gives us the download URL hxxp://dhl-bestelling-gemist.ru/afhaalbewijs/. Different URLs might be in use and filenaming can vary with each email.

The malicious Javascript file is detected as JS/Nemucod.ED!Eldorado by 5/52 AV engines at Virus Total. Malwr analysis shows that another file will be downloaded from hxxp://89.40.181.39/file/e.exe

The file e.exe is detected by 8/56 AV engines at Virus Total and the analysis is available on Malwr.