Es sabido que el word puede utilizar macros en los fichros DOC, pero hasta ahora no habiamos visto ningun RTF con macros… Pues a alguien se le ha ocurrido cambiar la extension de un DOC con macros por la de RTF, y anexarlo al siguiente mail: MAIL MASIVO ADJUNTANDO FICHERO RTF CON MACROS… ________________________________________________ Asunto: […]

En un superescueto mail se recibe anexado un fichero ZIP de nombre: INVOICE_316895191957192_virus.zip que contiene un copy.js infectado con n un downloader NEMUCOD El mail en el que se recibe es el siguiente: ________ Asunto: virus De: <visaoffice75@yahoo.fr> Fecha: 11/04/2016 13:41 Para: “virus” <DESTINATARIO> ANEXADO: INVOICE_316895191957192_virus.zip (CONTIENE FICHERO copy.js CONTENIENDO DOWNLOADER NEMUCOD) ________ Lo pasamos […]

Se está recibiendo masivamente falso mail de DHL anexando ZIP que contiene fichero EXE (que segun se mire puede parecer un DOC, o un PDF, pero al final tiene extension EXE) El contenido de dicho mail es el siguiente:   MAIL MALICIOSO _______________ Asunto: RE:Parcel Documents from Atlas ships -Ref:9382 De: “DHL DELIVERY”<dhldelivery@dhlint.com> Fecha: 04/04/2016 […]

Otra variante del Locky, que tras cifrar ficheros de datos y cambiar su nombre añadiendo .LOCKY al final, desaparece del ordenador sin dejar claves de lanzamiento en el registro de sistema. Lo pasamos a controlar a partir del ELISTARA 34.24 de hoy El preanalisis de virustotal ofrece el siguiente informe: MD5 c205c0e775dc05296184de656cd65680 SHA1 b95ebdee2de1896cdf8630a2abef7ad075c8074c Tamaño […]

Se esta recibiendo mail malicioso anexando PDF con enlace a descarga de malware en una URL acortada: MAIL MALICIOSO: ________________ Bom Dia! Como combinado Segue anexo de NFE N.269854 Confirmar Recebimento, Qualquer duvida estaremos a disposicao pdf Nota_Fiscal_Encaminhada.pdf —> contiene enlace a http://cor.to/xxxx enlace acortado descarga fichero maliciosoBANLOAD: Nota_Fiscal_Encaminhada_Mes_Marco_Nfe_Br_30_03.exe Carlos Mello Setor Comercial ________________ FIN […]

Se está recibiendo mail malicioso con este contenido: ______________ De: Kieth Morse [mailto:MorseKieth42@stroisib.su] Enviado el: miércoles, 30 de marzo de 2016 10:22 Para: <destinatario> Asunto: recent bill Dear <destinatario>, Please see attached file regarding clients recent bill. Should you need further assistances lease feel free to email me. Best regards Kieth Morse Financial Director – […]

Esta vez sin apenas texto, se recibe un email que anexa un .RAR que contene un LS con NEMUCOD, el cual esta vez instala un ransomware LOCKY, que pasamos a controlar a partir del ELISTARA 34.23 de hoy. Hay que tener en cuenta que otras veces los NEMUCOD descargan TESLACRYPT, que tantos ha instalado (hoy […]

Se está recibiendo masivamente un mail malicioso que anexa fichero empaquetado cuyo contenido es un JS downloader del ransomware LOCKY Lo pasamos a controlar a partir del ELISTARA 34.23 de hoy El mail en cuestion tiene las siguientes caracteristicas: __________________ Asunto: Delivery Confirmation Receipt – Tracking #5CC93D39E De: Trisha falsey <falseyTrisha762@e-techsystemsja.com> Fecha: 29/03/2016 18:31 Para: […]

Está llegando un mail similar a:   MAIL MALICIOSO: _______________   De: remitente (puede ser una remitente falso de alguien conocido) Enviado el: lunes, 14 de marzo de 2016 6:24 Asunto: RE: HOLA Hola, Por favor revise el documento que subí para ti con google docs. clique aquí e iniciar sesión con tu correo electrónico […]

Recibidos diferentes mails con anexado malicioso, ofrecemos contenido de algunos de ellos de los que pasamos a controlar los ficheros anexados (downloaders JS) asi como los EXES que ellos instalan y ejecutan. Uno de los mails ofrece el siguiente contenido: Asunto: FW: Order F-418566 De: Gaylord Patel <PatelGaylord23855@rossiferramenta.net> Fecha: 16/03/2016 15:57 Para: <destinatario> Dear <destinatario>, […]

Solo Kaspersky y otro AV detectaban este LOCKY cuando lo hemos subido al virustotal, por lo que se envia a McAfee una muestra para que añadan su control y eliminacion en la proxima version de DATS para el VirusScan A partir del ELISTARA 34.16 pasamos a controlar esta nueva variante, si bien se recuerda que […]

De la monitorizacion, (desempaquetado e instalacion del contenido), del fichero anexado al mail masivo conteniendo un downloader, que instala una variaNte de ransomware LOCKY A partir del ELISTARA 34.16 pasamos a controlar esta nueva variante, si bien se recuerda que este ransomware desaparece una vez cifrados los ficheros de datos, sin que instale clave de […]