NUEVO FALSO MAIL MASIVO DE DHL QUE SE ESTA RECIBIENDO CON ANEXADO MALICIOSO (BACKDOOR BLACK SHADE)
Se está recibiendo masivamente falso mail de DHL con el siguiente texto:
MAIL MASIVO MALICIOSO
_____________________
Asunto: DHL Delivery Documents – AWB Number: 9143102111
De: “DHL INTERNATIONAL”<internal@dhlgroups.com>
Fecha: 28/11/2016 11:50
Para: undisclosed-recipients:;
internal@dhlgroups.com
Kindly review attachments for Delivery Documents relating to your DHL Package On-board.
____________________________________________________________________________
AWB Number: 9143102****
Pickup Date: 2016-11-25 11:25:00
Service: U
Pieces: 1
Cust. Ref:
Description: Documents
_______________________________
Ship
Shipment status may also be obtained from our Internet site in USA under http://track.dhl-usa.com or Globally under http://www.dhl.com/track
Please do not reply to this email. This is an automated application used only for sending proactive notifications
From:
<remitente>
EVENT CATEGORY
25 NOV 16 12:47 PM – Shipment on Board
_____________________________________________________________________________
ANEXADO: DHL_AWB_DOCUMENTS_233470_pdf.zip (contgeniendo DHL_AWB_DOCUMENTS_233470_pdf.EXE)
_________________________
FIN MAIL MASIVO MALICIOSO
Conviene tener en cuenta que dicho ZIP contiene un fichero con doble extensión .PDF.EXE, lo cual indice a pensar que es un PDF al ocultar windows XP, 7 y 8 las extensiones, (el W10 afortunadamente ya las visualiza por defecto), siendo realmente un EXE, con un backdoor BLACK SHADE, el cual pasamos a controlar a partir del ELISTARA 35.72 de hoy.
El preanalisis de virustotal ofrece el siguiente informe:
MD5 ffbf5eda5edd19b3e951856ef079eae4
SHA1 d59caa875ff3288d4d62249d3c5991908eb28425
File size 521.0 KB ( 533504 bytes )
SHA256: f2d0f10ac038d84b091c1878ee3866f0ac40205828498b733e858004fdee3f6b
File name: DHL_AWB_DOCUMENTS_233470_pdf.exe
Detection ratio: 32 / 57
Analysis date: 2016-11-29 11:34:09 UTC ( 0 minutes ago )
0
1
Antivirus Result Update
AVG MSIL10.CKJY 20161129
Ad-Aware Trojan.GenericKD.3783420 20161129
AegisLab Troj.Dropper.Msil!c 20161129
Arcabit Trojan.Generic.D39BAFC 20161129
Avast Win32:Malware-gen 20161129
Avira (no cloud) TR/Dropper.MSIL.zpket 20161129
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9999 20161129
BitDefender Trojan.GenericKD.3783420 20161129
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20161024
Cyren W32/Trojan.SW.gen!Eldorado 20161129
DrWeb Trojan.PWS.Stealer.15120 20161129
ESET-NOD32 a variant of MSIL/Injector.QTI 20161129
Emsisoft Trojan.GenericKD.3783420 (B) 20161129
F-Prot W32/Trojan.SW.gen!Eldorado 20161129
F-Secure Trojan.GenericKD.3783420 20161129
Fortinet MSIL/Injector.QTI!tr 20161129
GData Trojan.GenericKD.3783420 20161129
Ikarus Trojan.MSIL.Bladabindi 20161129
Invincea trojan.win32.skeeyah.a!rfn 20161128
K7AntiVirus Trojan ( 004feef31 ) 20161129
K7GW Trojan ( 004feef31 ) 20161129
Kaspersky Trojan-Spy.Win32.Hoaki.aza 20161129
McAfee Artemis!FFBF5EDA5EDD 20161129
McAfee-GW-Edition BehavesLike.Win32.Trojan.hc 20161129
eScan Trojan.GenericKD.3783420 20161129
Microsoft HackTool:Win32/Mailpassview 20161129
Panda Trj/GdSda.A 20161128
Qihoo-360 Win32/Trojan.Dropper.ccc 20161129
Rising Trojan.Injector!8.C4-Jy2CY6r6TPS (cloud) 20161129
Sophos Mal/Generic-S 20161129
Symantec Trojan.Gen.2 20161129
TrendMicro-HouseCall TROJ_GEN.F0D1H00KS16 20161129
Cabe resaltar que al descomprimir el ZIP anexado, la carpeta que crea no visualiza la extensión real, sino “DHL_AWB_DOCUMENTS_233470_pdf” lo cual puede inducir al usuario a pensar que el contenido es un PDF, cuando realmente es un EXE que instala el indicado BACKDOOR (DHL_AWB_DOCUMENTS_233470_pdf.exe)
Dicha versión del ELISTARA 35.72 que lo detecta y elimina, estará disponible en nuestra web a partir del 30-11-2016
saludos
ms, 29-11-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.