Las últimas semanas estamos observando múltiples campañas de correos con documentos ofimáticos adjuntos, cuya finalidad es instalar diferentes tipos de malware en nuestros sistemas. En este post queremos repasar una campaña concreta que ha evolucionado sensiblemente en los últimos días, pero cuya finalidad se ha mantenido. La evolución ha consistido en el nombre de los documentos adjuntos, pues en principio, todos venían con el nombre “resume.doc” y posteriormente han empezado a añadir un nombre aleatorio al principio “[Nombre]_resume.doc.
Fichero | Hash |
Resume.doc | 952c2637787e737714ce8bdd24e9f41179865f1431c2ad4bc8e849b88c2a2ab9 |
Resume.doc | 1969f5bc5be1db820eff204504ba53efbf9ecd63a9b4af0b3f545586aec847ca |
Kathleen_Resume.doc | 4bbff4c776705bbf2d4be4a3ef1c9211fa2c691d90970c0cdc8b1c11f82a98a0 |
Itunes.exe | 4a2bf3912a679c0a3b591f13004b36bd2e77938b61e2a29badfec0d2c8b21c23 |
Itunes.exe | 9b8e7a442e4b7b08e6d25629f97ebd65%da2deac7a1677d9700b9ddf9f640b3f |
Itunes.exe | dd6178ae524b31d668e555caf22d72b50a467a0221a505357cf1e8d2d8861ccf |
El Documento en cuestión muestra lo siguiente al ser abierto: