MAIL MALICIOSO ANEXANDO MALWARE QUE PRETENDE VENIR DE LA AGENCIA TRIBUTARIA, PERO MUY MAL ESCRITO !

Si bien tiene de malo que viene de un remitente muy conocido (Agencia Tributaria) y con un asunto sensible (Errores en su Declaracion de Renta), adolece de faltas de ortografía que hacen sospechar a cualquier usuario que lea el mail, ante varias palabras del texto que delatan una falta de profesionalidad del que lo ha escrito, impropias de una Entidad como la que intentan suplantar:

“dectedado” en lugar de detectado , “jurata” en lugar de jurada , “deferencia” en lugar de diferencia

por no decir que la dirección de remite del mail es de <Tributos@mail.magclinic.com>

cuyo cliente de correo “magclinic.com” corresponde a “AL-MAGHLOUTH MEDICAL DISPENSARY”, de Al Hofuf (Arabia Saudita), que no tiene nada que ver con nuestra Agencia Tributaria !!!

como puede verse en el texto entero del mail en cuestión:

MAIL MALICIOSO:
_______________

Asunto: Errores en su Declaracion de Renta
De: Agencia Tributaria <Tributos@mail.magclinic.com>
Fecha: 26/03/2017 8:23
Para: “destinatario”

Estimado contribuyente,

Se han dectedado irregularidades en su declaración jurata de
Renta correspondiente al 2016. Adjunto a este mensaje va su
factura con la deferencia que debe abonar. En caso de no realizar
el pago en fecha puede incurrir en cargos y multas extras.

Que tenga un buen día!

Agencia Tributaria
Av. de España, 8, 02002 Albacete. España.

anexado: Factura.doc

__________________
FIN MAIL MALICIOSO

 

El fichero anexado es un DOC con macros maliciosas, las cuales si son abiertas por el usuario, descargan el ejecutable que se instala e infecta con el downloader en cuestión.

El preanalisis de virustotal sobre el fichero anexado, ofrece el siguiente informe:

MD5 a68630ff2790eb9c321e395d071ed487
SHA1 c58082845e9ad260f8105e09ea089681060f941d
Tamaño del fichero 48.9 KB ( 50027 bytes )
SHA256: 2c67c321c42d6c2a95aad21d5d30d8ef534c5d25983a95a80f675921368ae3f1
Nombre: Factura.doc
Detecciones: 30 / 59
Fecha de análisis: 2017-03-27 07:52:57 UTC ( hace 2 minutos )

ver informe actual

Y el fichero descargado por dichas macros, es un BAT que lanza un VBS que descarga e instala un fichero Beta.EXE, que resulta ser una variante de malware NEUREVT, que pasamos a controlar a partir del ELISTARA 36.52 de hoy

Info al respecto de ESET: “Este troyano ha sido diseñado para robar información sensible como credenciales de acceso a determinados servicios, datos del sistema operativo, de la computadora del usuario, entre otros.

En el siguiente gráfico es posible observar el porcentaje de detecciones de Neurevt con respecto a los países más afectados:

Asimismo, cabe indicar que en un principio, Neurevt infectaba principalmente a países como Turquía, Rusia y Ucrania.

De todas formas, la aparición de recientes campañas de propagación como la de autos, demuestran que los cibercriminales están comenzando a utilizar este malware en otras partes del mundo.

Por último cabe indicar que el mismo malware que ha llegado anexado al mail indicado, nos acaba de entrar con otro mail, con distinta apariencia, esta vez agradeciendo una DONACION, aunque con el mismo remitente,

MAIL MALICIOSO
______________
Asunto: Gracias por su Donación
De: MagClinic Donaciones <no-reply@mail.magclinic.com>
Fecha: 25/03/2017 7:36
Para: “destinatario”

Estimado,

Agradecemos enormemente su donación. Adjunto a este mensaje va
su factura con los detalles de la donación y pago debitado ya se
su tarjeta de crédito. Si tiene alguna pregunta, no dude en
consultarnos.

Que tenga un excelente día!

MagClinic.com
Departamento de Donaciones:

ANEXADO: fACTURA.DOC

___________________
FIN MAIL MALICIOSO

 

Dicha versión del ELISTARA 36.52 que lo detecta y elimina, estará disponible en nuestra web a partir del 28-3 prox.

saludos

ms, 27-3-2017

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies