Los mails de moda anexan un enlace a una URL con un fichero wsf que genera un EXE malicioso, si aun no se ha cortado el acceso a dicha UIRL, como es el caso. El texto del mail que nos ha llegado recientemente es el siguiente: Asunto: PO_4872844297_27032018 De: “Denis Massey” <netadmin@martejmatthewsmft.com> Fecha: 27/03/2018 13:34 […]

Del mismo tipo que el anterior, pero aparentando venir de un usuario de la red del destinatario (para mayor veracidad), se recibe este mail:   Asunto: Emailing: 8545074.JPG De: “Penny” <Penny@dominio destinatario> Fecha: 26/07/2017 11:28Para: <DESTINATARIO>   The message is ready to be sent with the following file or link attachments:8545074.JPG   <– ES UN […]

Se está recibiendo un mail similar a: MAIL MALICIOSO: _______________ Asunto: Travel Itinerary De: “Lufthansa” <Long.4551@redeconesul.com.br> Fecha: 04/10/2016 0:49 Para: <destinatario> Dear <DESTINATARIO> Thank you for flying with us! We attached the Travel Itinerary for Your booking number #B874408. See the paid amount and flight information. Best regards, Camille Long Lufthansa ANEXADO: Travel_Itinerary-9353FF81.ZIP __________________ FIN […]

A través de otras formas de como llegan las variantes del ransowmare ZEPTO es a través de un .js o .wsf, cuya ejecución descarga, descifra e instala uno de los ransomwares mas prolíficos actualmente, el sucesor del Locky, que añade .zepto a los ficheros cifrados. El preanalisis de virustotal ofrece el siguiente informe: MD5 3eff9046c145109c75bb188efe5c29a0 […]

A pesar de que algunos ZEPTO tienen un problema en el script de lanzamiento que hace que (afortunadamente) no logre su instalación, otros cuyo ZIP contiene un downloader .wsf , sí que logran su objetivo, descargando una DLL que cifra los ficheros añadiendoles la extensión ZEPTO. El preanalisis del .wsf que contiene el ZIP anexado […]

Nos llega una nueva variante de esta familia de la que ya controlamos uno parecido con el nombre de malware MSTCKZ, que llega incialmenmte en un fichero JS de extension WSF (DLDR), que genera un EXE (DR) que al final crea y instala una DLL El preanalisis de virustotal ofrece el siguiente informe: MD5 ef0dd079a34625db16764d283fb9701f […]