Son 4 mas los diferentes mails que esta misma tarde nos han llegado con mas de lo mismo: el TROYANO QUANT Basicamente son todos parecidos, pero con diferente ZIP que presenta otro enlace a distinta URL y que descarga otro .JS que genera otro EXE… El texto de los mails viene a ser similar en […]

Similares a los que ya recibimos y controlamos ayer, los de hoy llegan en mail con algo de texto, a saber Asunto: Emailing – 10006006497 De: “Wilson, Cara” <Cara.Wilson@dominio destinatario Fecha: 01/12/2017 0:13 Para: destinatario *** This email, and any attachments, is strictly confidential and may be legally privileged. It is intended only for the […]

Igual que el ya indicado a primera hora de hoy, vuelven a llegar mails con anexado sin extension, pero con tecnicas DDE que intentan descargar ficheros desde URL maliciosas Aunque no hayamos podido acceder a dichas URL por darnos ERROR 503 (Servidor no disponible), avisamos de dicha entrada de mails de este tipo, ya que […]

Y ahora llegan mails anexando fichero DOC sin extensión, que si se abre con el Office, descarga troyano usando tecnicas DDE.   __________   Asunto: Emailing: 77421096.doc De: “Manuel” <Manuel.Israel@awardsolutions.org.uk> Fecha: 14/11/2017 16:41 Para: <destinatario>   Your message is ready to be sent with the following file or link attachments:   ANEXADO :  77421096   […]

Se están recibiendo nuevoa mails masivos (spam) anexando ransowmare LOCKY, de los que añaden ykcol a los ficheros cifrados   Los mails que hemos recibido, al respecto, indican lo siguiente: Asunto: Emailing – PDF605 De: JANETTE SERGEANTSON <Janette0926@highdesertwind.com> Fecha: 03/10/2017 17:50 Para: DESTINATARIO Hi See attachment   ANEXADO: PDF605.7z   (conteniendo PDF930-jz con ransomware LOCKY)   […]

Tal como se preveía, se reciben mas mails con LOCKY, de los cuales ofrecemos texto característico de uno de ellos e informe del preanalisis de virustotal de todos.   Asunto: Emailing – PDF223 De: ALBERT FAIRCHILDS <Albert6262@pocket-change.com> Fecha: 03/10/2017 20:51 Para: “destinatario” Hi See attachment This email has been protected by YAC (Yet Another Cleaner) […]

Ya de entrada vemos mails con un remitente conocido, pero que mirando la IP de donde sale el mail, vemos que no concuerda con el que figura en el encabezamiento, sino que por ejemplo, en los dos primeros hemos visto que sus IP son de Vietnan y de Pakistan, a saber: Asunto: Emailing – 10008004466 […]

De los tres mails maliciosos que nos quedaron ayer por analizar, los ficheros anexados resultan ser 1 con extensión .DOC protegido por password (Document password: LRAKRFT), el cual ya controla McAfee como downloader (McAfee  W97M/Downloader 20170802) informe global actual de virustotal Y el tercero de los mails pendientes de ayer, es un .VBS que resulta […]

Y otros mails que analizaremos mañana, cuidado con ellos:   Asunto: Scanned image from MX-2600N De: <noreply@dominio destinatario> Fecha: 31/07/2017 17:44 Para: <destinatario> Reply to: noreply@dominio destinatario Device Name: Not Set Device Model: MX-2600N Location: Not Set File Format: Microsoft Office Word Resolution: 200dpi x 200dpi Attached file is scanned image in DOC format. Document […]

Del mismo tipo que el anterior, pero aparentando venir de un usuario de la red del destinatario (para mayor veracidad), se recibe este mail:   Asunto: Emailing: 8545074.JPG De: “Penny” <Penny@dominio destinatario> Fecha: 26/07/2017 11:28Para: <DESTINATARIO>   The message is ready to be sent with the following file or link attachments:8545074.JPG   <– ES UN […]

Se está recibiendo un mail con texto similar a: Asunto: Emailing: 6586947.JPG De: “Lorie” <Lorie@dominio del destinatario> Fecha: 26/07/2017 11:30 Para: “destinatario” The message is ready to be sent with the following file or link attachments: 6586947.JPG  <- es realmente un .JPG.ZIP que contiene un .wsf Note: To protect against computer viruses, e-mail programs may […]