Dos diferentes mails (que son mas de lo mismo) autoejecutan el html al utilizar formato MIME, están llegando con estos textos: Asunto: Unpaid invoice [ID:8507848] De: Anna.Cockbone@satinfo.es Fecha: 25/05/2018 16:33 Para: destinatario 8507848.iqy WEB 1 http://clodflarechk.com/2.dat 2 a 3 b 4 c 5 ANEXADO: 8507848.iqy y el segundo, muy similar, indica: Asunto: Unpaid invoice [ID:2384752] […]

Recibimos por doble circuito los mails que indicamos a continuación: Asunto: Información de interés sobre su factura móvil De: =?UTF-8?B?TW92aXN0YXIgLSBUZWxlZsOzbmljYQ==?= <tamura@bo-tsu.co.jp> Fecha: 26/02/2018 14:17 Para: DESTINATARIO Estimado cliente, Su cuenta Movistar.es se encuentra suspendida en estos momentos , por favor asegurese de actualisar todos sus datos. Por favor, haga clic abajo para activar su cuenta. […]

MAS MAILS CON ENLACES MALICIOSOS Se están recibiendo mails con enlaces a una web que promociona compra de BITCOINS- El texto de dichos mails es el siguiente: Asunto: Finalmente está AQUÍ De: <dominio destinatario> Fecha: 21/02/2018 22:30 Para: <destinatario> Hola, Esto es para informarte que $13,593.97 han sido depositados en tu cuenta bancaria esta mañana. […]

Como ayer recibimos hoy otro mail con un PDF adjunto, el cual controlamos con el mismo ELISTARA 38.49 ya disponible El mail indica: Asunto: Offer 49443200 De: “Dona” <Dona@gmail.com> Fecha: 19/02/2018 14:53 Para: undisclosed-recipients ANEXADO: promo_50_49443200.PDF ______

Los dos resultan tener diferentes nombres de fichero pero con el mismo contenido, que identificamos como DOWNLOADER PDF TEXTO DE LOS MAILS EN CUESTION Asunto: Offer 8548858 De: “Leonardo” <Leonardo@gmail.com> Fecha: 19/02/2018 14:29 Para: undisclosed-recipients:; anexado: discount_30_8548858.pdf _______ Asunto: Coupon 538690191 De: “Sara” <Sara@gmail.com> Fecha: 19/02/2018 14:30 Para: undisclosed-recipients:; anexado: coupon_20_1080358.pdf

Llegan mails anexando fichero .7z conteniendo .vbs downlodaer Dichos ficheros ejecutables descargados por los vbs empaquetados, pasan a ser controlados a partir del ELISTARA 38.24 de hoy El contenido de dichos mails es similar a: _________ Asunto: Document No 2861074 De: “Charmaine Ann” <accounts@dominio destinatario> Fecha: 14/01/2018 19:06 Para: destinatario Thanks for using online billing […]

Como los últimos días, siguen llegando mails anexando empaquetado con fichero .js que instalan RANSOMWARE DOC que pasamos a controlar a partir del ELISTARA 38.11 de hoy EL mail típico de hoy tiene estas carateristicas: ____________ Asunto: Emailing: IMG_20171221_199352296, IMG_20171221_241873016, IMG_20171221_597863800_HDR De: “Armand” <Armand@dominio destinatario Fecha: 21/12/2017 17:43 Para: <destinatario> Your message is ready to […]

En nuevos mensajes de mail con similar contenido a : __________ Asunto: Emailing: IMG_20171221_179301054, IMG_20171221_934706075, IMG_20171221_540965739_HDR De: “Carolyn” <Carolyn@dominio destinatario> Fecha: 21/12/2017 11:24 Para: <destinatario> Your message is ready to be sent with the following file or link attachments: IMG_20171221_179301054 IMG_20171221_934706075 IMG_20171221_540965739_HDR Note: To protect against computer viruses, e-mail programs may prevent sending or receiving […]

A partir del ELISTARA 38.04 pasamos a controlar nuevas variantes que se deccargan de los ficheros anexados a estos mails (DOC con macros) Asunto: Your Payment – 8509 De: “Kay Docwra” <Kay.Docwra@DOMINIO DESTINATARIO> Fecha: 12/12/2017 20:35 Para: undisclosed-recipients:; Your Payment is attached. ANEXADO : 8509_Payment.doc cuyo preanalisis del fichero anexado ofrece este otro informe: _____ […]

En nuevos mails recibidos, aparentemente anexan fichero DOC (.7z)  que contienen 10006003400.vbs que descargan e instalan ransomware DOC como los ya indicados esta mañana El texto del mail es el siguiente: Asunto: 52_Invoice_4032 De: DAN LINCOLN <danlincoln@ketco.co.uk> Fecha: 01/12/2017 12:03 Para: DESTINATARIO 001_4711 Sent from my iPhone

Similares a los que ya recibimos y controlamos ayer, los de hoy llegan en mail con algo de texto, a saber Asunto: Emailing – 10006006497 De: “Wilson, Cara” <Cara.Wilson@dominio destinatario Fecha: 01/12/2017 0:13 Para: destinatario *** This email, and any attachments, is strictly confidential and may be legally privileged. It is intended only for the […]

Igual que el ya indicado a primera hora de hoy, vuelven a llegar mails con anexado sin extension, pero con tecnicas DDE que intentan descargar ficheros desde URL maliciosas Aunque no hayamos podido acceder a dichas URL por darnos ERROR 503 (Servidor no disponible), avisamos de dicha entrada de mails de este tipo, ya que […]