ULTIMO MALWARE DE HOY, TROJAN.YAKBEEX, QUE ACABAMOS DE RECIBIR ANEXADO A MAIL MALICIOSO

En un mail pidiendo oferta de percio, con el siguiente texto, llega anexado un fichero CON DOBLE EXTENSION !!!

MAIL MALICIOSO
______________
Asunto: Urgent Request For Quotation
De: “Vattenfall Energy Trading” <richard.cane@vattensfall.com>
Fecha: 19/04/2017 14:17
Para: Me <richard.cane@vattensfall.com>

Hello Gents,
Kindly confirm the availability of these products and quote us your best FOB price immediately.
Awaiting your kind response.
Thanks and best regards.
Richard Cane
Procurement Secretary

ANEXADO: REQUEST FOR QUOTATION (RFQ) ASG.H-09-04-19 PDF.zip  (contiene fichero malicioso REQUEST FOR QUOTATION (RFQ) ASG.H-09-04-19 PDF.exe)

______________________
FIN DEL MAIL MALICIOSO

Conviene darse cuenta de que el fichero que desempaqueta tiene doble extension, y aunque aparente ser un PDF, realmente es un EXE, ya que la última extensión es la que vale.

Ello debe tenerse muy en cuenta al ocultar Windows las extensiones, y si no se configura para ver las ocultas, nos pueden colar ejecutables con cualquier apariencia, tanto PDF, como TXT, como DOC, etc … !!!

El preanalisis de virustotal ofrece el siguiente informe:

MD5 50e44e97b1dfca446079342ee635214f
SHA1 e191643666a1b545ce2c3cf1b112638d97c332e1
Tamaño del fichero 759.0 KB ( 777216 bytes )
SHA256:
da671fc05de7d0cb62a6be6041a73fca03f765baa58e3755650181ac3e2c398a
Nombre:
REQUEST FOR QUOTATION (RFQ) ASG.H-09-04-19 PDF.exe
Detecciones:
20 / 62
Fecha de análisis:
2017-04-19 15:23:31 UTC ( hace 2 minutos )

total actual 

Dicha versión del ELISTARA 36.67 que lo detectará y eliminará, estará disponible en nuestra web a partir del 20-4 prox.

saludos

ms, 19-4-2017