URGENTE: MAIL MASIVO MALICIOSO QUE ANEXA FICHERO “RTF” … CON MACROS !!!
Es sabido que el word puede utilizar macros en los fichros DOC, pero hasta ahora no habiamos visto ningun RTF con macros…
Pues a alguien se le ha ocurrido cambiar la extension de un DOC con macros por la de RTF, y anexarlo al siguiente mail:
MAIL MASIVO ADJUNTANDO FICHERO RTF CON MACROS…
________________________________________________
Asunto: Prompt response required! Past due inv. #VGZ06717492
De: “Mariana Neal” <Mariana.Neal4@redsnapperseason.com>
Fecha: 13/04/2016 18:55
Para: “‘SATINFO.ES'” <zonavirus@satinfo.es>
“http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>
Hello,
I am showing that invoice VGZ06717492 is past due. Can you tell me when this invoice is scheduled for payment?
Thank you,
Jake Gill
Accounts Receivable Department
COLT GROUP SA
(106) 753 0276
ANEXADO: FICHERO DOC225270334860699.rtf (QUE CONTIENE MACROS…)
_________________
FIN MAIL MALICIOSO
De entrada avisamos de la malicia del mismo y ademas vemos que en el preanalisis de virustotal lo detectan como downloader, posiblemente de algun ransomware de los de moda …
MD5 19c498a0f8469b6d2246083486a3d6f2
SHA1 c36882538a03f7f126f8cda22762bdcad7bc0580
Tamaño del fichero 57.0 KB ( 58368 bytes )
SHA256: 4a29a1839f07f42052d737c4498fd08559f755400aebc4b33f9b7d043e747bd4
Nombre: DOC225270334860699.rtf
Detecciones: 21 / 57
Fecha de análisis: 2016-04-14 10:24:17 UTC ( hace 1 minuto )
0 3
Antivirus Resultado Actualización
AVware LooksLike.Macro.Malware.b (v) 20160414
AegisLab W2Km.Dridex.Gen!c 20160414
AhnLab-V3 W97M/Downloader 20160414
Avira (no cloud) W2000M/Agent.88310 20160414
Cyren Trojan.HIND-0 20160414
ESET-NOD32 VBS/TrojanDownloader.Small.NEN 20160414
F-Prot New or modified W97M/Donoff 20160414
Fortinet WM/Agent!tr 20160413
Ikarus Trojan-Downloader.VBS.Small 20160414
Kaspersky Trojan-Downloader.VBS.Agent.bkz 20160414
McAfee W97M/Downloader!19C498A0F846 20160414
McAfee-GW-Edition Artemis!19C498A0F846 20160414
Microsoft TrojanDownloader:O97M/Adnel 20160414
Qihoo-360 virus.office.obfuscated.1 20160414
Sophos Troj/DocDl-CEL 20160414
Symantec W97M.Downloader 20160414
Tencent Macro.Trojan.Dropper.Auto 20160414
TrendMicro W2KM_DRIDEX.YYSTU 20160414
TrendMicro-HouseCall W2KM_DRIDEX.YYSTU 20160414
VIPRE LooksLike.Macro.Malware.b (v) 20160414
ViRobot W97M.S.Downloader.58368.C[h] 20160414
Dicha version del ELISTARA 34.34 que lo detecta y elimina, estará disponible en nuestra web a partir de las 18 h CEST de hoy
De momento se avisa en plan urgente para evitar que alguien lo ejecute pensando que es lo que dice ser, un RTF (sin macros, claro) y las macros contenidas en el mismo le jueguen una mala jugada. Mas tarde lo monitorizaremos y veremos lo que descarga, pasandolo tambien a controlar
saludos
ms, 14-4-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.