Un nuevo PWS que logicamente queda residente tras su ejecución, y se instala en %Datos de Programa%\ eLFxKPP\ MIlNf.exe nombre con el que lo pasamos a controlar, ofrece este informe en el preanalisis de virustotal>   Como podemos ver Microsoft lo considera un REMCOS, si bien dicho nombre no es el que utiliza esta variante […]

Otro mail que llega sin pedirlo, esta vez aparenta ser de CAIXABANK: TEXTO DEL MAIL ______________ Asunto: PAGO DE CAIXABANK 23.09.2019 De: ADRIÁN FEDERICO SUAREZ <info@kamousariya.com> Fecha: 23/09/2019 11:33 Buenos días, Por favor, adjunte la transferencia bancaria (PAGO) realizada esta mañana. Por favor confirme el recibo. Saludos ADRIÁN FEDERICO SUAREZ| CEO Policharous 4, 24100 MUNICH […]

Firmado por «DHL expres» llega este mail anexando fichero malware con captura de datos   TEXTO DEL MAIL _______________ Asunto: Tax Invoice De: Bincy Vijoy <ei@edaviation.net> Fecha: 11/07/2019 14:40 Dear customer, Attached is your DHL tax invoice. Kindly review it and settle the outstanding ASAP. Best Regards, DHL express ANEXADO : Tax Invoice (3).ZIP —> […]

Ya hacía tiempo que no veíamos malwares de dicho tipo, pero ahí vuelven: Evidentemente queda residente y su eliminación con el ELISTARA necesita un reinicio para que deje de estarlo, sino persiste su captura y el doble acento. Pero tras pasar el ELISTARA y reinicar, se acabó lo que se daba ! El preanalisis de […]

Se está recibiendo un mail anexando un RAR que contiene un PDF.EXE que pasamos a controlar como TROJAN.HEYES El texto del mail es el siguiente: ___________ Asunto: Order Ref#4502300 (LAST ORDER FOR THE YEAR) De: SALES <Sales@molco.nl> Fecha: 06/12/2018 7:54 Para: undisclosed-recipients:; Dear Sir, How are you? it was long time no contact since the […]

Se está recibiendo un falso mail de DHL que anexa fichero RAR malicioso conteniendo un EXE con PWS (pasword stealer) El TEXTO de dicho mail es el siguiente: ________________ Asunto: DHL Failed Delivery (Ref: GOT/4300965) De: DHL EXPRESS <DHL-Express.Export@dhl.com> Fecha: 27/11/2018 9:39 Para: undisclosed-recipients:; Arrival Notice Our Ref: GOT / 731104 Bill of Lading: TAO184053 […]

  Al monitorizarlo observamos que crea la siguiente tarea %WinDir%\Tasks\Betvingelsernes7.job y deja programada la siguiente clave para instalarse al reiniciar: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] «Betvingelsernes7″=»%WinTmp%\ Doterings4.exe» Y algunos AV como KASPERKY Y ZA lo controlan como TROJAN SPY STEALER: Kaspersky Trojan-Spy.Win32.Stealer.dnb ZoneAlarm by Check Point Trojan-Spy.Win32.Stealer.dnb El preanalisis de virustotal de la muestra recibida ofrece el siguiente informe> […]

  Un nuevo cazapasswords que pasamos a identificar como PWS ARKEI por ser el nombre que utiliza al infectar, lo pasamos a controlar a partir del ELISTARA 40.04 de hoy Los datos de la máquina infectada los recopila en el fichero «information.log», como estos de la máquina de ensayo: __________ [=======================================================] [==================== Arkei Stealer ====================] […]

Una nueva variante de esta familia de malware MSONEDRIVE con nuevas caracteristicas respecto las variantes anteriores (esta vez borra todos los EXE que encuentra en la carpeta donde se ubica), El preanalisis de virustotal ofrece el siguiente informe del Malware.MSOneDrive> Tras arrancar, se carga y queda residente con funciones de PWS (Password Stealer). Lo pasamos […]

Se está recibiendo otra modalidad de mails, esta vez anexando un fichero ZIP que contiene un .COM El contenido de dicho mail es el siguiente: ____________ Asunto: August Order Inv De: cheng Yu <chengyu@cccna.com> Fecha: 30/07/2018 10:51 Para: DESTINATARIO Dear Sir, we have sent the August order Invoice as requested. Please let us know how […]

Un nuevo cazapasswords, que como es normal en tal caso queda residente tras su ejecución, pasa a ser controlado a partir del ELISTARA 39.36 de hoy Tanto McAfee, como MalwareBytes, como DrWeb, por ejemplo, lo consideran «Trojan.PWS.Stealer», pero al ser nombre muy generico, pasamos a llamarle como el nombre con el que se autocopia. Como […]

A partir del ELISTARA 38.74 de hoy, pasamos a controlar esta nueva variante de cazapasswords TROJAN SPY (PWS) YAKBEEX Cabe indicar que queda residente y crea %Datos de Programa% (All Users)\ Browsers.txt %Datos de Programa% (All Users)\ Mails.txt El preanalisis de virustotal ofrece el siguiente informe:   Dicha versión del ELISTARA 38.74 que lo detecta […]