ATENCIÓN! Intento de estafa mediante un phishing AFIP (ARGENTINA)

  • 12
  • 22 septiembre, 2017
ALERTAAFIP

Informamos a todos nuestros clientes que se encuentra activo un intento de estafa mediante un phishing, el cual distribuye un falso e-mail de AFIP (Administración Federal de Ingresos Públicos). Este e-mail contiene un archivo .doc, el cual usa un exploit que afecta la vulnerabilidad CVE 2017-8759 a http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8759

El e-mail pretende ser de la AFIP y viene de un server que la IP asignada a Gualberto Larrauri. El mensaje del e-mail describe el adjunto como un manual para un portal de la AFIP, el mismo es un .zip que contiene un RTF con extensión .doc. Si bien contiene un .doc real, dentro también se encuentra el exploit CVE 2017-8759 que puede infectar y vulnerar una PC con SO Windows.

Una vez abierto el RTF genera una actividad en powershell que descarga un ejecutable malicioso en Windows que además crea persistencia en el registro de Windows.

phshingAFIP1 phshingAFIP2 phshingAFIP3

Cuando se analiza el tráfico se puede ver que hace varias request hacia dos IP

154.16.93.182 y 103.200.22.206

phshingAFIP4

Este tráfico malicioso generado incluye HTTP request para inyecciones de código Javascript, Powershell Script, y ejecutables de Windows por el puerto TCP 8007.

Los hashes son los siguientes:

SHA256 hash:  7bd46284dabf1f400102aa35e123eb2ffe2838560fbc016ba4f2cd376742004c

  • File size:  52,132 bytes
  • File type:  Zip archive
  • File name:  comprasAnexoII.zip
  • File description:  Email attachment

SHA256 hash:  4a07c6f26ac9feadbd78624d4e063dfed54e972772e5ee34c481bdb86c975166

  • File size:  286,981 bytes
  • File type:  Rich Text Format (RTF) file
  • File name:  comprasAnexoII.doc
  • File description:  RTF file with CVE-2017-8759 exploit

SHA256 hash:  610e6611b3b2e3bd85173cba76bf069fb7134b86f533141f79811fcc29d62b33

  • File size:  440,832
  • File type:  PE32 executable
  • File location:  hxxp://classupdate.punkdns.top:8007/txt/words.exe
  • File location:  C:\ProgramData\SystemMicrosoftDefender2.1\[random characters].exe
  • File description:  Follow-up malware, Neurevt.A (Betabot)

 

TRAFICO AL MOMENTO DE LA INFECCIÓN

  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/doc.txt
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/accounts.hta
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/pause.ps1
  • 154.16.93.182 port 8007 – classupdate.punkdns.top:8007 – GET /txt/words.exe

TRAFICO POST INFECCION:

  • 103.200.22.206 port 80 – av.bitdefenderesupdate.ru – POST /.av/logout.php
  • 103.200.22.206 port 80 – av.bitdefenderesupdate.ru – POST /.av/logout.php?id=[various numbers

 

RECOMENDACIONES:

Al no contar con el parche para la vulnerabilidad CVE 2017-8759 este ataque podría generar una infección, escalación de privilegios y otros efectos, por lo cual recomendamos:

  • Asegurar la aplicación de cada una de las actualizaciones automáticas de Windows, de lo contrario, actualizar a la última versión disponible del parche manualmente.
  • Mantener actualizados las soluciones de Antivirus y dispositivos Firewall.
  • Sensibilizar a los usuarios para evitar descarga de archivos adjuntos en correos sospechosos
  • Actualizar extra.DAT  en el ePO. Instrucciones para actualizar el extra.DAT https://kc.mcafee.com/corporate/index?page=content&id=KB67602

Ante cualquier duda o inquietud no dudes en contactarnos:

Pablo Renzo
prenzo@ransecurity.com

Leave a Reply

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764