Asunto: IMG_6850.BMP De: jimmie mcqueen <jimmieKMJmcqueen@gmail.com> Fecha: 08/08/2017 23:44 Para:DESTINATARIO   ANEXADO: IMG_6850.zip —> conteniendo IMG_4930.js con malware tipo downloader NEMUCOD   Sigue anexando un ZIP que contiene un JS con el NEMUCOD tipico:

Esta vez se diferencia de los demas recibidos hoy al intentar engañar al usuario indicando en el texto un asunto terminado en DOCX, esto es:   Asunto: E 2017-08-09 (673).docx De: Serena@dominio destinatario Fecha: 24/07/2017 9:51 Para: destinatario   — Files attached. Thanks   Sigue anexando un ZIP que contiene un vbs con el NEMUCOD […]

Relacionamos para información al usuario, varios mails con anexado malicioso, que una vez desempaquetado contenían un downloader NEMUCOD, preparado para descargar nuevos malware:   Asunto: E 2017-08-09 (10).tiff De: Bridgette@dominio del destinatario Fecha: 24/07/2017 9:51 Para: destinatario   — Files attached. Thanks ANEXADO: E 2017-08-09 (10).zip —> CONTENIENDO E 2017-08-09 (734).VBS MALWARE   informe del analisis […]

  EL siguiente mail ha llegado anexando fichero ZIP malicioso, APARENTANDO SER UNA IMAGEN, cuyo contenieo resulta ser un downloader NEMUCOD   Asunto: Asunto: IMG_9152.GIF De: nadia pippins <nadiaNLpippins@gmail.com> Fecha: 04/08/2017 16:01 Para: “sat@satinfo.es” <sat@satinfo.es>   ANEXADO: IMG_9152.ZIP (conteniendo IMG_8813.js que es un downloader NEMUCOD, descarga malwares)  

EL siguiente mail ha llegado anexando fichero ZIP malicioso, cuyo contenieo resulta ser un downloader NEMUCOD Asunto: De: <andris.rozenbergs@ltv.lv> Fecha: 07/08/2017 3:55 Para: “destinatario”   ANEXADO: INFO_5275888147_virus.ZIP —> CONTENIENDO 7931.js (NEMUCOD)  

Siguen llegando mails con fichero anexado malicioso, a saber:   Asunto: IMG_7434.JPG De: erica pruner <ericahbpruner@gmail.com> Fecha: 04/08/2017 3:52 Para: “detinatario” ANEXADO: IMG_7434.ZIP —> CONTENIENDO IMG_6885.js con downloader NEMUCOD   Informe global actual de virustotal: https://www.virustotal.com/es/file/967f118223a1ad63d62244369ffa9385853d90f176c823295610ddada6888c45/analysis/1501839814/   MD5 : 1620e3aa0a0578ec54fd8621e3e42972 ______________________   Asunto: IMG_1175.BMP De: irene morrell <ireneDwmorrell@gmail.com> Fecha: 03/08/2017 16:18 Para: “destinatario” ANEXADO: IMG_1175.ZIP […]

Se trata de un mail sin texto, a saber:   Asunto: IMG_1062.PDF De: jordan judd <jordanegqjudd@gmail.com> Fecha: 03/08/2017 13:31 Para: “destinatario”   ANEXADO : IMG_1062.ZIP    <— CONTIENE IMG_4048.JS  (CON DONWLOADER NEMUCOD)   _____________  

En este caso aluden a que se descargue el ADOBE si no se puede leer el documento, que es un .JS … !   Asunto: Invoice NIC453372 De: Adrian.81@gmail.com Fecha: 02/08/2017 21:40 Para: <destinatario>     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ If you cannot view this attachment download a copy of Adobe Acrobat Reader from: http://get.adobe.com/reader/Email powered by Reform–  […]

Y un mail con texto largo Asunto: Your order has been despatched De: customer.service@hiltonworkshops.co.uk Fecha: 01/08/2017 11:21 Para: destinatario Dear Customer The attached document* provides details of items that have been packed and are ready for despatch. Please use your tracking number (contained within the attached document) to monitor the progress of your shipment. Customer […]

Se está recibiendo mail masivo, sin texto ni ASUNTO , con estas características: Asunto: De: <andris.rozenbergs@ltv.lv> Fecha: 31/07/2017 21:12 Para: DESTINATARIO ANEXADO :  EMAIL_17652316065112_virus.ZIP   <— CONTIENE  757088634.zip — nXxNgcja.JS El fichero contenido en el doble ZIP enviado es nXxNgcja.JS que extrae y ejecuta un JS NEMUCOD, descargando y ejecutando un distinto malware en función […]

Se estan recibiendo nuevos mails sin contenido de texto, solo anexando fichero ZIP, que resultan ser :   Asunto: De: <satsang.nu@mail.vresp.com> Fecha: 29/07/2017 4:17 Para: DESTINATARIO anexado: EMAIL_2893291386048_sat.ZIP <—- contiene 5221678.zip que contiene d.js   Y OTRO :   Asunto: Voice Message Attached from 01258835631 – name unavailable De: <vm@dominio del destinatario> Fecha: 28/07/2017 17:38 […]

En un mail del siguiente tipo   Asunto: De: <info@ngkerk.org.za> Fecha: 27/07/2017 21:21 Para: <detinatario>   ANEXADO: 673884326407.ZIP —> contiene 7J.js que instala ransomware TROLDESH (que añade .aleta a los que cifra) llega anexado un fichero cuyo preanalisis de virustotal