Me llamo mucho la atención el aviso de Raúl en su twitter, por lo que pasamos a verlo.
El correo phishing, es una copia a la factura digital de Telefónica Argentina, con el link de descarga que apunta a un documento .DOC alojado en Dropbox.
Una vez abierto el documento nos indica que debemos habilitar el contenido para que se ejecute la macro auto-open
La macro, abre una imagen falsa y ejecuta un .vbs en el %appdata%/temp y termina ejecutando un .exe que esta hardcodeado en el vbs.
Este ejecutable descomprime dos amenazas.
Aquí vemos la persistencia en el sistema
https://www.virustotal.com/es/file/68dfe14103ffa2befb39d8bda4bd65e09eff90de6b2c203e6ba5a7810053c089/analysis/1491585453/
https://www.virustotal.com/es/file/d4ba451fae6310e27806d10e5835f08263a8c5f0308fa1eaa151870a1c3f154a/analysis/1491585564/
La amenaza se inyecta en un proceso Notepad.exe
Strings interesantes
080IAM010010DAR8K89TR3SDTACK
4.1 Alien+
Local User
123456
127.0.0.1
notepad.exe
SYSTEMROOT
WINDIR
APPDATA
ZYYd
(D@
TClientSocket
Todo indicaría que se trata del siguiente RAT
www[.]nulled[.]to[/]topic[/]186564-darktrack-41-alien-legit-verion-remote-admin-tool/
Comunicación con el C&C
Esta amenaza se utiliza para controlar la pc de la victima, es posible subir y ejecutar otras amenaza como ser Ransomware.
Muestras: https://www.dropbox.com/s/9wyu52hn2itmqb9/malw%20-07-04-17-telefonica.7z?dl=0
Es todo por el momento @Dkavalanche 2017