Malware spam: "ArsenaL LTD" / "document do confirm" / "Izabela Pachucka [pachuckaizabela@arsenalltd.pl]"

ArsenaL LTD are a wholly legitimate Polish firm, but they are not sending out this email nor have their systems been compromised in any way. Instead, this is a simple forgery with a malicious attachment.

From:    Izabela Pachucka [pachuckaizabela@arsenalltd.pl]
Date:    24 February 2015 at 08:56
Subject:    document do confirm

Dear customer

Attached plese find the invoice of January loading. Please sign it, stamp and send me back till Monday.

Thank You in advance

Izabela Pachucka

tel. +48-85-747-90-53
tel. +48 516 010 976
fax. +48-85-747-90-89

iza@arsenalltd.pl
--------------------------------------------------------
Arsenal LTD Spółka z ograniczoną odpowiedzialnością Spółka Komandytowa

15-688 Białystok ul.Przedzalniana 6H

wpisana do Krajowego Rejestru Sądowego prowadzonego
przez Sąd Rejonowy dla m.Białystok ,XII Wydział Gospodarczy
pod KRS 0000367679 , o kapitale zakładowym w wysokości
PLN 15 000 000,00 , o numerze NIP:542-31-83-714,
numerze Regon:200392749

cid:image002.png@01D030AD.6E9AF970

Joanna Grudzińska

tel. +48-85-747-91-50
tel. kom. +48 885-852-835

grudzinskajoanna@arsenalltd.pl
--------------------------------------------------------
Arsenal LTD Spółka z ograniczoną odpowiedzialnością Spółka Komandytowa


15-688 Białystok ul.Przedzalniana 6H

wpisana do Krajowego Rejestru Sądowego prowadzonego
przez Sąd Rejonowy dla m.Białystok ,XII Wydział Gospodarczy
pod KRS 0000367679 , o kapitale zakładowym w wysokości
PLN 15 000 000,00 , o nu

I have seen only a few samples, with an attachment roexport.xls or roexport.doc both of which are undetected by AV vendors [1] [2] and which contain two similar malicious macros [1] [2] which download another component from the following locaitons:

http://francis.behague.free.fr/js/bin.exe
http://dulcisinfundo.es/js/bin.exe

This is saved as %TEMP%\GHjkdfg.exe. The payload is identical to the one found in this earlier spam run.