NUEVO FALSO MAIL MASIVO DE DHL QUE SE ESTA RECIBIENDO CON ANEXADO MALICIOSO (BACKDOOR BLACK SHADE)

Se está recibiendo masivamente falso mail de DHL con el siguiente texto:

MAIL MASIVO MALICIOSO
_____________________

Asunto: DHL Delivery Documents – AWB Number: 9143102111
De: “DHL INTERNATIONAL”<internal@dhlgroups.com>
Fecha: 28/11/2016 11:50
Para: undisclosed-recipients:;

internal@dhlgroups.com
 
Kindly review attachments for Delivery Documents relating to your DHL Package On-board.
____________________________________________________________________________
 
AWB Number: 9143102****
Pickup Date: 2016-11-25 11:25:00
Service: U
Pieces: 1
Cust. Ref:
Description: Documents
 
_______________________________
 
Ship 
Shipment status may also be obtained from our Internet site in USA under http://track.dhl-usa.com or Globally under http://www.dhl.com/track
Please do not reply to this email. This is an automated application used only for sending proactive notifications

 From:
<remitente>
EVENT CATEGORY
25 NOV 16 12:47 PM – Shipment on Board
 
_____________________________________________________________________________

ANEXADO: DHL_AWB_DOCUMENTS_233470_pdf.zip  (contgeniendo DHL_AWB_DOCUMENTS_233470_pdf.EXE)
_________________________

FIN MAIL MASIVO MALICIOSO
Conviene tener en cuenta que dicho ZIP contiene un fichero con doble extensión .PDF.EXE, lo cual indice a pensar que es un PDF al ocultar windows XP, 7 y 8 las extensiones, (el W10 afortunadamente ya las visualiza por defecto), siendo realmente un EXE, con un backdoor BLACK SHADE, el cual pasamos a controlar a partir del ELISTARA 35.72 de hoy.

El preanalisis de virustotal ofrece el siguiente informe:

MD5 ffbf5eda5edd19b3e951856ef079eae4
SHA1 d59caa875ff3288d4d62249d3c5991908eb28425
File size 521.0 KB ( 533504 bytes )
SHA256:  f2d0f10ac038d84b091c1878ee3866f0ac40205828498b733e858004fdee3f6b
File name:  DHL_AWB_DOCUMENTS_233470_pdf.exe
Detection ratio:  32 / 57
Analysis date:  2016-11-29 11:34:09 UTC ( 0 minutes ago )
0
1

Antivirus  Result  Update
AVG  MSIL10.CKJY  20161129
Ad-Aware  Trojan.GenericKD.3783420  20161129
AegisLab  Troj.Dropper.Msil!c  20161129
Arcabit  Trojan.Generic.D39BAFC  20161129
Avast  Win32:Malware-gen  20161129
Avira (no cloud)  TR/Dropper.MSIL.zpket  20161129
Baidu  Win32.Trojan.WisdomEyes.16070401.9500.9999  20161129
BitDefender  Trojan.GenericKD.3783420  20161129
CrowdStrike Falcon (ML)  malicious_confidence_100% (W)  20161024
Cyren  W32/Trojan.SW.gen!Eldorado  20161129
DrWeb  Trojan.PWS.Stealer.15120  20161129
ESET-NOD32  a variant of MSIL/Injector.QTI  20161129
Emsisoft  Trojan.GenericKD.3783420 (B)  20161129
F-Prot  W32/Trojan.SW.gen!Eldorado  20161129
F-Secure  Trojan.GenericKD.3783420  20161129
Fortinet  MSIL/Injector.QTI!tr  20161129
GData  Trojan.GenericKD.3783420  20161129
Ikarus  Trojan.MSIL.Bladabindi  20161129
Invincea  trojan.win32.skeeyah.a!rfn  20161128
K7AntiVirus  Trojan ( 004feef31 )  20161129
K7GW  Trojan ( 004feef31 )  20161129
Kaspersky  Trojan-Spy.Win32.Hoaki.aza  20161129
McAfee  Artemis!FFBF5EDA5EDD  20161129
McAfee-GW-Edition  BehavesLike.Win32.Trojan.hc  20161129
eScan  Trojan.GenericKD.3783420  20161129
Microsoft  HackTool:Win32/Mailpassview  20161129
Panda  Trj/GdSda.A  20161128
Qihoo-360  Win32/Trojan.Dropper.ccc  20161129
Rising  Trojan.Injector!8.C4-Jy2CY6r6TPS (cloud)  20161129
Sophos  Mal/Generic-S  20161129
Symantec  Trojan.Gen.2  20161129
TrendMicro-HouseCall  TROJ_GEN.F0D1H00KS16  20161129

Cabe resaltar que al descomprimir el ZIP anexado, la carpeta que crea no visualiza la extensión real, sino “DHL_AWB_DOCUMENTS_233470_pdf” lo cual puede inducir al usuario a pensar que el contenido es un PDF, cuando realmente es un EXE que instala el indicado BACKDOOR (DHL_AWB_DOCUMENTS_233470_pdf.exe)

Dicha versión del ELISTARA 35.72 que lo detecta y elimina, estará disponible en nuestra web a partir del 30-11-2016
saludos

ms, 29-11-2016