Description
Cisco Security Intelligence Operations has detected significant activity related to Portuguese-language spam e-mail messages that claim to contain a loan payment notification for the recipient. The text in the e-mail message attempts to instruct the recipient to the link to view the details. However, the link contains a .zip file containing a malicious .cpl file that, when executed, attempts to infect the target system with malicious code.
E-mail messages that are related to this threat (RuleID5030KVR and RuleID5030) may contain the following files:
SegVia.zip
SegVia.cpl
The SegVia.cpl file in the SegVia.zip archive has a file size of 326,144 bytes. The MD5 checksum, which is a unique identifier of the executable, is the following string: 0x2ECEF92414AFBB353AA28AD9DA70561F
A variant of the SegVia.cpl file in the SegVia.zip archive has a file size of 323,584 bytes. The MD5 checksum is the following string: 0xCB342228D9295B6ED9A575DADB3D587B
The following text is a sample of the e-mail message that is associated with this threat outbreak:
Subject: selgo
Message Body:
Notificação
Nosso controle de pagamentos acusa, em sua conta, prestação vencida há mais de 15 dias.
motivo pelo qual pedimos a V. Sa. sua imediata regularização. Tendo em vista que a emissão deste aviso é automático.
Atenciosamente,
Clique aqui para ver o debito Titulo Pendente.doc ( 28 kb )
Or
Subject: Fatura Eletrnica
Message Body:
Prezado(a) Senhor(a)
Vimos pela presente informar a V.Sa. que se encontra em aberto, junto a nossa empresa, um debito nao quitado.
Tendo em vista que ate o presente momento nao acusamos o recebimento de referida prestacao, solicitamos a V.Sa. a quitacao desta ou seu comparecimento em nosso estabelecimento a fim de regularizar tal pendencia no prazo maximo de 30 dias.
Atenciosamente,
Clique aqui para ver o Debito Informacoes.doc ( 38 kb )
Source: Cisco