This Spanish-language spam comes with a Word document containing a Macro virus.
From: Banco Santander [altacuentas_cash@santander.com.mx]
Reply-to: noreply@santander.com.mx
Date: 10 July 2014 09:52
Subject: Estado de Cuenta Datallado en LÃnea
Estimado Cliente:
Por este medio le enviamos el estado de su cuenta del dÃa 08/Jul/2014.
Le recomendamos descargarlo y asà mantener un registro de sus activos.
El estado de cuenta se encuentra adjunto en este correo en formato Microsoft Word.
Para cualquier duda o aclaración puede comunicarse a Súper LÃnea Empresarial.
Atentamente,
BANCO SANTANDER.
******************PRIVACIDAD DE ESTE MENSAJE**********************
Este mensaje esta dirigido exclusivamente a las personas que tienen las direcciones de correo electronico especificadas en los destinatarios dentro de su encabezado. Si por error usted ha recibido este mensaje, por ningun motivo debe revelar su contenido, copiarlo, distribuirlo o utilizarlo. Le solicitamos por favor elimine dicho mensaje junto con cualquier documento adjunto que pudiera contener. Los derechos de privacidad y confidencialidad de la informacion en este mensaje no deben perderse por el hecho de haberse trasmitido erroneamente o por causas de interferencias en el funcionamiento de los sistemas de correo y canales de comunicacion. Toda opinion que se expresa en este mensaje pertenece a la persona remitente por lo que no debe entenderse necesariamente como una opinion del Grupo Financiero Santander y/o de las entidades que lo integran, a menos que el remitente este autorizado para hacerlo o expresamente lo diga en el mismo mensaje. En consideracion a que los mensajes enviados de manera electronica pueden ser interceptados y manipulados, el Grupo Financiero Santander y las entidades que lo integran no se hacen responsables si los mensajes llegan con demora, incompletos, eliminados o con algun programa malicioso denominado como virus informatico. Este mensaje no debe interpretarse, por ningun motivo como una oferta de venta o de compra de valores ni de instrumentos financieros relacionados. Los acentos en la leyenda de confidencialidad se han suprimido para una mejor lectura
This translates roughly as:
I hereby send you the status of your account on 08/Jul/2014.
We recommend you download and keep track of your assets.
The statement is attached to this email in Microsoft Word format.
For any question you can contact Super Business Line.
Best regards,
BANCO SANTANDER.
Attached is a file
ESTADOCUENTA_2457.doc which contains a Word Macro virus. However, because most people's settings would stop a Macro virus running then it actually contains detailed instructions on how to remove your security settings.
The first page reads:
El contenido no puede ser mostrado.
Para poder ver el contenido de este documento debe habilitar los Macros de Microsoft Word, luego cerrar y abrir el documento.
Pruebe lo siguiente:
Habilite los Macros y luego vuelva a abrir el documento.
En este documento podrá encontrar una guÃa proporcionada por www.santander.com para poder habilitar los macros en su Microsoft Word.
Grupo Financiero Santander México - 2014
which roughly translates to:
The content can not be shown.
To view the content of this document should enable macros Microsoft Word, then close and reopen the document.
Try the following:
Enable Macros and then reopen the document.
In this document you will find a guide provided by www.santander.com to enable macros in your Microsoft Word.
Grupo Financiero Santander Mexico - 2014
There then follows several pages with screenshots on how to disable the security in Word and Excel.. doing which of course is a bad idea. Reloading the document will then execute the Macro virus. I have defanged the document and converted it to a PDF file
here. A copy of the VBA code is
here (thanks to
@Techhelplistcom).
The VirusTotal analysis shows just
1/54 virus scanners detect it. The
Malwr analysis gives some clues as to what is going on in the string dump, especially the reference to
baulretro.cl/tienda/cache/wp/ss.exe (186.64.120.59 / Zam Ltda, Chile) which appears to be a malicious binary (at the moment the file is 404ing, but it was
working recently).
The properties of the Word document don't give much of a clue:
Authors are "OFEyDV", last saved by "clein" which matches to a few other recent malicious Spanish-language documents
[1] [2] [3] [4]. The creation date indicates that perhaps this started off life as a genuine document and has been adapted for evil purposes.
Originating IP for the spam is
124.42.127.221 (Langfang University, China) via
199.192.145.152 (
web17.gohost.com).
It's a lot of hard work to get your computer infected, but it does also look quite convincing. Word Macros are very rarely used by anything and you should definitely not fiddle with them if you don't need to.