FALSO MAIL QUE APARENTA LLEGAR DE DHL ANEXANDO UN FICHERO MALICIOSO (PWS)

Se está recibiendo un falso mail de DHL que anexa fichero RAR malicioso conteniendo un EXE con PWS (pasword stealer)

El TEXTO de dicho mail es el siguiente:

________________

Asunto: DHL Failed Delivery (Ref: GOT/4300965)
De: DHL EXPRESS <DHL-Express.Export@dhl.com>
Fecha: 27/11/2018 9:39
Para: undisclosed-recipients:;

Arrival Notice
Our Ref: GOT / 731104

Bill of Lading: TAO184053

Your Ref:
Dear customer,

We tried to deliver your package at 4:15 PM on 20th November, 2018.

The delivery attempt failed because no one was present at the shipping address
so this notification has been automatically sent.

If the parcel is not scheduled for re-delivery or picked up within 72 hours,
it will be returned to the sender.

Please check attached file for tracking details and schedule another delivery time.

Do not hesitate to contact us for further assistance.

Best regards,
Emma Linderoth
E-mail: DHL-Express@dhl.com

ANEXADO: DHL Delivery.RAR —> Contiene un EXE malicioso con PWS

This is an e-mail message from DHL. The information contained in this communication is intended solely for use by the individual or entity to whom it is addressed. Use of this communication by others is prohibited. If your email was sent to you by mistake, please destroy it without reading, using, copying or disclosing its contents to any other person. We accept no liability for damage to data and / or documents communicated by electronic mail.

___________

total del fichero DHL Delivery.exe contenido en el RAR anexado a este mail>

Como puede verse se detecta como un PWS, por lo que lo pasamos a controlar a partir del ELISTARA 40.19 de hoy.

Recordamos una vez mas que no deben ejecutarse ficheros, enlaces o imagenes anexados a e-mails no solicitados …

COMO YA VAMOS INDICANDO REPETIDAMENTE, NO SE DEBEN EJECUTAR NI FICHEROS NI ENLACES NI IMAGENES DE MAILS QUE NO SE HAYAN SOLICITADO, AUNQUE SE CONOZCA EL REMITENTE O VENGAN DE ALGUNA ENTIDAD CONOCIDA, Y MENOS ENVIAR DATOS QUE PUDIERAN SOLICITAR …

Y CUIDADO, QUE AHORA YA NOS LLEGAN CON TODO EL MAIL EN UNA IMAGEN QUE ES UN ENLACE A UNA URL ACORTADA MALICIOSA, ASI QUE DESDE AHORA, SEGUIR LO INDICADO ANTERIORMENTE, AÑADIENDO NO PULSAR EN NINGUNA PARTE DEL MAIL, POR SI ACASO FUERA TODO ÉL UNA IMAGEN CON ENLACE A URL MALICIOSA !!!

y en particular con los XLSX anexados a mails no solicitados, no abrirlos con el Microsoft Office, sino con el WordPad, dado que no son realmente ficheros de Excel sino simples RTF con exploit similar al CV-2012 o CV-2017, que con el WordPad no actúan. Y tener en cuenta que ahora también se estila anexar RTF con extensión DOC, proceder igual que con lo indicado anteriormente.

saludos

ms, 27-11-2018