Blogg uppdaterad med flera ärenderader.

Vi har under natten och morgonen sett en ökad spamaktivitet. Och det verkar vara två lite olika kampanjer

Mail som kan ha följande ärenderader har en länk till skadlig kod:

Please send copy invoice

Awaiting for your confirmation

Scan 95156212446

Scan PS – 024-U9179

gescanntes Dokument 02154697150

 

Mail med bifogade infekterade wordfiler. Dessa kan ha ärenderader som:

NT003 Quote Request.

Price Inquiry

Rechnungs-Details XOHN – 608-UIZ9819

Rechnungs-Details ZWY – 861-YG3106

Rechnungs-Details PQ – 601-SPT3785

Vid vår analys av ett sample så hämtar wordfilen ner en .exefil som när den körs kopierar sig till system32 katalogen och skapar en registernyckel.

Sedan försöker den ansluta mot hxxp://79.172.249.82:443/ som för tillfället inte svarar.

Fortimail och Fortisandbox har stoppat detta och McAfee ENS Web Control känner igen och blockerar åtkomst till länkar inblandade i kampanjerna. Fortinet detekterar detta som W32/Kryptik.GCKS!tr. Observera att länkar och filer inblandade ändras löpande under kampanjen.

Mvh Kenneth Höglund NSEC SOC