Threat Outbreak Alert: Fake Turkish Airline Ticket Booking Confirmation E-mail Messages

Description

Cisco Security Intelligence Operations has detected significant activity related to Turkish-language spam e-mail messages that claim to contain an airline ticket booking confirmation for the recipient. The text in the e-mail message attempts to convince the recipient to open the attachment and view the details. However, the .zip attachment contains a malicious .exe file that, when executed, attempts to infect the system with malicious code.

E-mail messages that are related to this threat (RuleID5280) may contain any of the following files:
SunExpress Bilet Bilginiz.zip
SunExpress Bilet Bilginiz.PDF.exe
The SunExpress Bilet Bilginiz.PDF.exe  file in the SunExpress Bilet Bilginiz.zip attachment has a file size of 58,727 bytes. The MD5 checksum, which is a unique identifier of the executable, is the following string: 0x8B1586AFEA7B0F3A7B47689B0864BEA7

The following text section is a sample of the e-mail message that is associated with this threat outbreak:
Subject: Message from Outbreak Quarantine

Message Body:

Rezervasyon Onayı
SunExpress'e HoLzgeldiniz,
SunExpress'i tercih ettiÄziniz iA§in teLzekkALr ederiz.
LALtfen aLzaÄzıdaki Bilgi ve Talimatları gA¶z A¶nALnde bulundurunuz.
Size keyifli bir uA§uLz dileriz.
SunExpress
GALneLz Ekspres Havacılık
YenigA¶l Mahallesi,Nergiz Sokak
No: 84 PK No:07230
MuratpaLza /Antalya TALrkiye
member of IATA
Rezervasyon Bilgileri Ekli
Rezervasyon Tarihi:    15/02/2013 10:10
Rezervasyon no:        V8G5OT
Biletme:       MACENTA/TRY
Sayın yolcumuz,
334 sayılı V.U.K. G.T. uyarınca e-biletinizin fatura yerine geA§ecek olması nedeni ile e-biletiniz sadece 1 (bir) defa yazdırılabilecektir. Daha sonraki yazdırma iLzlemlerinizde e-bilet A§Ä±ktısı ALzerinde "KOPYADIR ve SURETTIR" ibaresinin yer alacaÄzını A¶nemle hatırlatırız.
UA§uLz bilgilerinizi gA¶rALntALlemek, e-biletinizi ve faturanızı yazdırmak iA§in lALtfen burayı tıklayınız.
Tarifeli kalkıLz saatinden 30 (otuz) dakika A¶ncesine kadar bilet ve bagaj kontrolAL iA§in check-in iLzlemlerini tamamlamamıLz olan yolcular o uA§uLz ile ilgili tALm haklarını kaybederler.
UA§us iA§in yukarida belirtilen rezervasyon kayit numarasi ve fotografli kimliginiz yeterli olacaktir.
LALtfen uA§usunuzun kalkis saatinden en geA§ 90 dakika A¶nce hava alaninda olunuz.
IZMIR'DEN A‡IKISLI UA‡USLARIMIZ YENI IC HATLAR TERMINALINDEN YAPILMAKTADIR.
SunExpress iyi uA§uLzlar diler...
Satın almıLz olduÄzunuz e-biletiniz ile ilgili deÄziLziklik, iptal ve fazla bagaj kurallarını A§aÄzrı merkezimizden
TEL: 444 0 797 ya da www.sunexpress.com web sitemizden A¶Äzrenebilirsiniz.
www.sunexpress.com

Source: Cisco