NUEVA VARIANTE DE MALWARE QUE PASAMOS A CONTROLAR COMO TROJAN.HEYES (PWS)

---

Se está recibiendo un mail anexando un RAR que contiene un PDF.EXE que pasamos a controlar como TROJAN.HEYES



El texto del mail es el siguiente:



___________



Asunto: Order Ref#4502300 (LAST ORDER FOR THE YEAR)

De: SALES <Sales@molco.nl>

Fecha: 06/12/2018 7:54

Para: undisclosed-recipients:;



Dear Sir,



How are you?



it was long time no contact since the fair , we hope everything is good for you.



Please kindly see attached our last order for your perusal.



Kindly give us your most competitive price and payment term for your new order as this should be our last order for the year.



Your urgent reply will be highly appreciated





My best regards



Andrew







MOLCO TRADINGS CO.,LTD

Tel:86-757-28830618

Fax:86-757-28830608ab

Mobile:86-13928299600







anexado: Order Ref#69765GH29-pdf.RAR (contiene Order Ref#69765GH29-pdf.exe malware PWS HEYE)



_______________





El preanalisis de virustotal sobre el EXE resultante ofrece el siguiente informe:



https://www.virustotal.com/es/file/fa623c9ff1ba5ce5f0b3b84c58419289332070ad2a72fc74e90e18af099c9c8f/analysis/1544437705/





Resulta ser un cazapasswords que está empaquetado dentro del RAR, expandiendose con doble extension, .PDF.EXE para engañar al usuario que no vea la segunda extensión, lo cual ocurre si no se tiene seleccionado "ver todas las extensiones"



Mucho cuidado con los mails que se reciben sin ser solicitados, como ya indicamos repetidamente:



COMO YA VAMOS INDICANDO REPETIDAMENTE, NO SE DEBEN EJECUTAR NI FICHEROS NI ENLACES NI IMAGENES, DE MAILS QUE NO SE HAYAN SOLICITADO, AUNQUE SE CONOZCA EL REMITENTE O VENGAN DE ALGUNA ENTIDAD CONOCIDA, Y MENOS ENVIAR DATOS QUE PUDIERAN SOLICITAR ...



Y CUIDADO, QUE AHORA YA NOS LLEGAN CON TODO EL MAIL EN UNA IMAGEN QUE ES UN ENLACE A UNA URL ACORTADA MALICIOSA, ASI QUE DESDE AHORA, SEGUIR LO INDICADO ANTERIORMENTE, AÑADIENDO NO PULSAR EN NINGUNA PARTE DEL MAIL, POR SI ACASO FUERA TODO ÉL UNA IMAGEN CON ENLACE A URL MALICIOSA !!!



y en particular con los XLSX anexados a mails no solicitados, no abrirlos con el Microsoft Office, sino con el WordPad, dado que no son realmente ficheros de Excel sino simples RTF con exploit similar al CV-2012 o CV-2017, que con el WordPad no actúan. Y tener en cuenta que ahora también se estila anexar RTF con extensión DOC, proceder igual que con lo indicado anteriormente.





Esperando que lo indicxado les sea de utilidad, reciban saludos



ms, 10-12-2018