NOS LLEGAN VARIOS MAILS TIPO “INVOICE” CON ANEXADO SIN NOMBRE NI EXTENSION ???
Nos tememos algo raro y novedoso, (o erroneo) pues al recibir varios mails tipo facturas pero sin nombre ni extension en el anexado, pero con tamaño… RARO RARO !
Hemos “rebautizado” dichos ficheros a extensión .eml y al subirlos al preanalisis de virustotal, vemos que se detecta como “PowerShell.DownLoader.457”
Se puede visualizar el fichero eml puro y se obtiene, en resumen, lo siguiente:
—-boundary_63_fce02566-c2d8-3f21-34b7-999201be386c
Content-Type: text/plain; charset=”us-ascii”
Content-Transfer-Encoding: quoted-printable
Please find Invoice UBK0288793 attached.
—-boundary_63_fce02566-c2d8-3f21-34b7-999201be386c
Content-Type: application/msword; name=”Invoice-UBK0288793.doc”
Content-Transfer-Encoding: base64
Por ser detectado como lo hace DrWeb, PowerShell.DownLoader.457, entendemos que se trata de un mail que utiliza la tecnica DDE para ingresar algo como un Locky ASASIN, de los que estamos recibiendo en correo aparte.
Entendemos que se trata de un fallo del hacker y que puede tratarse de un intento de envio del mismo ransomware arriba indicado, y que estamos recibiendo aparte y vamos a analizarlos, considerando estos con fichero anexado sin nombre como anomalos
SALUDOS
ms, 8-11-2017
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.