Nuevo mail masivo que se está recibiendo con falso remitente de LA CAIXA

Un nuevo mail malicioso se está recibiendo con la indicacion de que se pulse en un enlace que accede a un servidor de Israel y descarga fichero LACAIXA.EXE, que, subido al virus total, ya es detectado por 14 AV y que pasamos a controlar como PHISHING LACAIXA a partir del ELISTARA 26.75 de hoy

dicho mail es similar a:

MAIL MALICIOSO:
_______________

De: lacaixa@sac.info [lacaixa@sac.info]
Enviado el: martes, 18 de diciembre de 2012 10:55
Para:
Asunto: advertencia de seguridad lacaixa

En lacaixa tenemos la consciencia de la necesidad de garantizar el tránsito de la información entre el banco y nuestros clientes. Por esta razón, lacaixa cuenta con las máximas medidas de seguridad para poder garantizar la confidencialidad de las comunicaciones entre el banco y el cliente. No obstante, esas medidas pueden cambiar sin notificación, con la finalidad de proteger sus datos personales. Este correo le ha sido enviado automaticamente por nuestro sistema, como notificación de los cambios efectuados en el sistema. Para seguir utilizando nuestros servicios de Banca por internet de lacaixa, debes instalar el nuevo sistema de seguridad para poder efectuar sus operaciones normalmente.

Acceda al enlace que hemos puesto a su disposición pulsando [AQUÍ]. <— ENLACE MALICIOSO A WEB DE ISRAEL

NOTA: Recuerde que no podrás operar en lacaixa sin instalar el sistema, es muy importante su utilización. Si la instalación no se realiza dentro de 48h su cuenta será suspendida temporalmente hasta que su registro se haya completado.

Todos los Derechos Reservados 2012© lacaixa.

______________________
FIN DEL MAIL MALICIOSO

El preanalisis del fichero decargado, subido al virustotal ofrece este informe:

SHA256: c7f4d6b999e15bf0b46d7ae63e6ab61a885db22488657ecdd551c2725aa64694
SHA1: 0620e0f1b5322e749131d599caecc9e2812bcb7b
MD5: 93853917bb02f85ba8f83fa94f6dd7ba
Tamaño: 1.1 MB ( 1185280 bytes )
Nombre: LACAIXA.exe
Tipo: Win32 EXE
Detecciones: 14 / 39
Fecha de análisis: 2012-12-18 15:12:43 UTC ( hace 1 minuto )

Antivirus Resultado Actualización
Agnitum – 20121218
AntiVir – 20121218
Antiy-AVL – 20121218
Avast – 20121218
AVG – 20121218
BitDefender Gen:Variant.Graftor.15857 20121218
CAT-QuickHeal – 20121218
ClamAV – 20121218
Commtouch – 20121218
Comodo – 20121218
DrWeb – 20121218
Emsisoft Gen:Variant.Graftor.15857 (B) 20121218
eSafe – 20121216
ESET-NOD32 a variant of Win32/Spy.Banker.UCO 20121218
F-Prot – 20121217
F-Secure Gen:Variant.Graftor.15857 20121218
Fortinet – 20121218
GData Gen:Variant.Graftor.15857 20121218
Ikarus Trojan-Banker.Win32.Banker 20121218
Jiangmin Trojan/Banker.Banker.mgk 20121218
K7AntiVirus – 20121217
Kaspersky HEUR:Trojan.Win32.Generic 20121218
Kingsoft – 20121217
Malwarebytes Trojan.Banker 20121218
Microsoft – 20121218
MicroWorld-eScan Gen:Variant.Graftor.15857 20121218
NANO-Antivirus Trojan.Win32.Banz.bknqq 20121218
Norman W32/Banker.FYEC 20121217
nProtect – 20121218
Panda – 20121218
Rising – 20121218
Sophos – 20121218
SUPERAntiSpyware – 20121218
TheHacker – 20121218
TotalDefense – 20121218
TrendMicro-HouseCall – 20121218
VBA32 Trojan-Banker.Win32.Banker.aqym 20121218
VIPRE Trojan.Win32.Generic!BT 20121218
ViRobot – 20121218

Dicha version del ELISTARA 26.75 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

saludos

ms, 18-12-2012

NOTA: Recordamos que no se debe pulsar en ficheros anexados a mails no solicitados, ni en enlaces o imagenes contenidas en los mismos, por ser el método de introducción de malwares mas frecuente.