INGENIERIA SOCIAL: MALWARES ANEXADOS A MAILS ADJUNTANDO SUPUESTA FACTURA EN FALSO PDF

Ante la generalizada costumbre actual de no enviar las facturas en papel, por correo convencional, sino en PDF, anexadas a un mail al efecto, lo están aprovechando los ciberdelincuentes para enviar en su lugar malwares con doble extension (.PDF.EXE) dentro de un ZIP anexado al e-mail tipico , como este que se está distribuyendo:

MAIL MALICIOSO
______________

Asunto: factura
De: meg-expofont@arrakis.es
Fecha: 10/02/2015 09:24
Para: <destinatario>
Este mail es un mensaje automatico POR FAVOR NO CONTESTE A ESTE EMAIL

ANEXO: factura1_09_02_2015_pdf.zip <— FICHERO MALICIOSO
______________________

FIN DEL MAIL MALICIOSO

En esta ocasion el fichero ZIP contiene un EXE malware cuyo preanalisis del virustotal muestra que aun es muy poco detectado por los AV actuales (solo por 3 de 57 AV)

Lo pasamos a controlar a partir del ELISTARA 31.62 de hoy, y enviamos muestras urgentes del mismo , tanto a McAfee como a Kaspersky para que los controlen lo mas pronto posible

Dicho preanalisis ofrece el siguiente informe:
SHA256: 4339039fdc677cfa6feb65f8cb26c5ee9f56c012f1851dfb8700b83206334a6d
Nombre: factura1_09_02_2015_pdf.pdf.exe
Detecciones: 3 / 57
Fecha de análisis: 2015-02-10 10:31:21 UTC ( hace 0 minutos )

0 1
Antivirus Resultado Actualización
ByteHero Trojan.Malware.Obscu.Gen.002 20150210
Ikarus Win32.Outbreak 20150210
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150210
Dicha version del ELISTARA 31.62 que lo detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy

SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

y para los nuevas variantes de virus que mcafee controla heuristicamente, configurar a nivel MUY ALTO la sensibilidad heuristica en la Consola de Virusscan, tanto a nivel de RESIDENTE A TIEMPO REAL como el de escaneador en EXPLORACION COMPLETA -> RENDIMIENTO Y GUARDAR COMO PREDETERMINADO en columna de la derecha

-Y no olvidar que pailtrar los HTML, ya que pueden ser descargas legales, pero hemos visto que tambien los usan para descargar malwares, asi que MUCHO CUIDADOra la deteccion heuristica del VirusScan, el ordenador debe estar conectado a Internet-
y conviene tener presente la posibilidad de filtrar por extensiones los adjuntos a los mails, con las soluciones perimetrales, controlando extensiones .SCR, EXE, PIF, CPL, etc , teniendo marcada la opcion de examinar incluso dentro de ficheros empaquetados (CAB, ZIP, RAR, etc), y asi impedir que los usuarios reciban dichos ficheros ejecutables contenidos en los anexados de los mails.

Lamentablemente no conviene filtrar los HTML, ya que pueden ser descargas legales, pero hemos visto que tambien los usan para descargar malwares, asi que MUCHO CUIDADO !
saludos

ms, 10-2-2015