Nuevo mail masivo de LA CAIXA que descarga fichero malicioso

Un nuevo mail se está recibiendo por correo electrónico con un link que descarga fichero troyano que pasamos a controlar como “PHISHING LA CAIXA”, que accede a pagina phishing con entrada de datos

El texto plano del mail indica:

MAIL MALICIOSO
______________

<LOGO DE LA CAIXA>

La Caixa siempre trata de encontrar sus expectativas mas altas.
Por eso usamos la ultima tecnologia en seguridad para nuestros clientes.
Por lo tanto nuestro departamento de antifraude ha desarrollado un nuevo sistema de seguridad que elimine cualquier posibilidad del acceso de la tercera persona a sus datos, cuentas ni fondos.
Es obligatorio para todos los clientes usar este sistema de seguridad.

Para comenzar la descarga por favor pinche aqui: ACEPTAR

Nuestro consejo para usted es que introduzca sus datos se acceso para pasar La Verificacion Del Sistema. Si la instalación no es realizado dentro de 48 Horas su cuenta sera suspendida temporalmente hasta que su registro sea completado.
Esto solo le va a costar unos minutos de su tiempo y va a tener una seguridad mucho mas estable.

© La Caixa .Todos los Derechos Reservados.

__________

Fin del mail malicioso

El link existente en ACEPTAR descarga el fichero LACAIXA.EXE desde un servidor hospedado en Belgica:

195.13.7.34 BE Belgium 11 Brussels Hoofdstedelijk Gewest Brussels  50.8333 4.3333 Belgacom Skynet

y el preanalisis del mismo en VirusTotal , ofrece este informe:

File name: LACAIXA.exe
Submission date: 2011-09-15 09:09:33 (UTC)

Result: 9/ 44 (20.5%)
VT Community

not reviewed
Safety score: –
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.09.14.00 2011.09.14 –
AntiVir 7.11.14.205 2011.09.15 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2011.09.15 –
Avast 4.8.1351.0 2011.09.14 Win32:Spyware-gen [Spy]
Avast5 5.0.677.0 2011.09.14 Win32:Spyware-gen [Spy]
AVG 10.0.0.1190 2011.09.15 –
BitDefender 7.2 2011.09.15 –
ByteHero 1.0.0.1 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.15 –
ClamAV 0.97.0.0 2011.09.15 –
Commtouch 5.3.2.6 2011.09.15 –
Comodo 10119 2011.09.15 –
DrWeb 5.0.2.03300 2011.09.15 –
Emsisoft 5.1.0.11 2011.09.15 –
eSafe 7.0.17.0 2011.09.14 –
eTrust-Vet 36.1.8561 2011.09.14 –
F-Prot 4.6.2.117 2011.09.14 –
F-Secure 9.0.16440.0 2011.09.15 –
Fortinet 4.3.370.0 2011.09.15 –
GData 22 2011.09.15 Win32:Spyware-gen
Ikarus T3.1.1.107.0 2011.09.15 –
Jiangmin 13.0.900 2011.09.14 –
K7AntiVirus 9.113.5133 2011.09.14 –
Kaspersky 9.0.0.837 2011.09.15 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.09.15 –
McAfee-GW-Edition 2010.1D 2011.09.14 –
Microsoft 1.7604 2011.09.15 –
NOD32 6464 2011.09.15 a variant of Win32/Spy.Banker.UCO
Norman 6.07.11 2011.09.15 –
nProtect 2011-09-15.01 2011.09.15 –
Panda 10.0.3.5 2011.09.14 Suspicious file
PCTools 8.0.0.5 2011.09.15 –
Prevx 3.0 2011.09.15 –
Rising 23.74.03.03 2011.09.09 –
Sophos 4.69.0 2011.09.15 Mal/Behav-188
SUPERAntiSpyware 4.40.0.1006 2011.09.15 –
Symantec 20111.2.0.82 2011.09.15 –
TheHacker 6.7.0.1.296 2011.09.14 –
TrendMicro 9.500.0.1008 2011.09.15 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.15 –
VBA32 3.12.16.4 2011.09.14 Trojan-Banker.Win32.Banker.aqym
VIPRE 10480 2011.09.15 –
ViRobot 2011.9.15.4669 2011.09.15 –
VirusBuster 14.0.213.0 2011.09.15 –
Additional informationShow all

Additional informationShow all

MD5   : a214619807a88a2b62dbb5b6a2cc99da
SHA1  : 2ad3405fe72a0ea28c18097cd06359c2dd0bd17a

File size : 707072 bytes

La imagen del mail recibido es:

imagen mail LACAIXA:

Una vez mas recordamos que NUNCA SE DEBE PULSAR EN ENLACES NI EJECUTAR FICHEROS recibidos en mails no solicitados, aunque aparenten ser de entidades fiables, como es el caso !

Si han descargado y ejecutado el fichero, lanzar el ELISTARA 23.88, pero si han entrado datos que pide la pagina phishing, avisar a su entidad bancaria ya que dichos datos bancarios han sido enviados al hacker, y conviene evitar cuanto antes, travases de fondos…

Dicha versión del ELISTARA 23.88 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 15-9-2011