MAIL MALICIOSO EN FORMATO MIME QUE DESCARGA VARIANTE DE TROYANO DOWNLOADER BANLOAD

Hay que tener cuidado con los mails sobre la declaración de renta que llegan y llegarán estos días, que son apropiados para enviar phishings con dicho asunto, como ya informabamos recientemente en:

Guardia Civil alerta de una oleada de ‘phishing’ que simula proceder de la AEAT, coincidiendo con la campaña de la renta

de los que un asociado nos envia hoy uno, aunque a este se le ve venir al estar en portugés:

MAIL MALICIOSO
_______________

Enviado el: jueves, 06 de abril de 2017 15:50
Para: destinatarios (lista abierta)
Asunto: IRFP Extrato imposto de Renda 2017 d20884 Data: 06/04/2017

Segue em anexo seu extrato do Imposto de Renda2017, Corra para fazer sua declaração de imposto de renda.

ANEXADO: IRPF_20172088485265.html <— DESCARGA FICHERO MALICIOSO “Extrato Imposto de Renda 2017.ZIP”

__________________
FIN MAIL MALICIOSO

Tanto la ejecución del HTML anexado como la del mail inicial, al ser formato MIME descargan automaticamente el siguiente fichero:

Extrato Imposto de Renda 2017.ZIP, que contiene un fichero malicioso “Extrato_do_Imposto_de_Renda_2017_PDF.JAR”

fichero que es un empaquetado de java y que pasamos a controlar como Downloader.Banload a partir del ELISTARA 36.61 de hoy

El preanalisis de virustotal ofrece el siguiente informe:

MD5 80f74e395e7c64aa27a7e70c5cf3ac60
SHA1 1ac7f3f8c342d3f47563dc868d2a125f7203b9f4
Tamaño del fichero 98.3 KB ( 100627 bytes )
SHA256: 4e64c156a3a062fbf985732047e6949815187ac7d6c2d8c45aefaa2e157338ea
Nombre: Extrato_do_Imposto_de_Renda_2017_PDF.jar
Detecciones: 23 / 58
Fecha de análisis: 2017-04-07 07:55:07 UTC ( hace 3 minutos )

total

Dicha versión del ELISTARA 36.61 que lo detecta y elimina, estará disponible en nuestra web a partir del 8-4 prox

saludos

ms, 7-4-2017