Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
El malware Formbook está activo desde el año 2016, es un tipo de info stealer que recolecta y roba información de los dispositivos infectados. Asimismo, este malware puede brindar una puerta trasera (backdoor) para que los equipos comprometidos formen parte de una botnet y generen actividad maliciosa.
Este malware es distribuido a través de campañas de phishing disfrazado como archivos adjuntos de tipo .pdf, .zip, .rar o ejecutables que parecen estar relacionados con empresas de envíos o logística.
Nombre del archivo: DHL_734825510.rar
Nombre de la variante: Formbook
Tipo: Info Stealer
Vector de ataque: Phishing
IoC: C:\Users\admin\AppData\Local\Temp\DHL_46049595.exe
Hash:
- MD5: aa84c94ebf26c05edd63b238289c077c
- SHA-1: a377db80170c61f16fe3eb1c9543e76b0b0b30a5
- SHA-256: df607dfa701d132a8679f0855bfdca430246d46285e36f46a965bb8a67f4d7b6
Reglas YARA:
- pe_no_import_table
- shellcode
- SUSP_Imphash_Mar23_3
- Sus_Obf_Enc_Spoof_Hide_PE
- UPXV200V290MarkusOberhumerLaszloMolnarJohnReiser
Actividad maliciosa:
- Intercepta y recolecta la información introducida en los navegadores web, como las credenciales de acceso, antes de que sea enviada a su destino.
- Accede, recolecta y roba la información del dispositivo.
- Apaga, reinicia y ejecuta comandos en el dispositivo infectado remotamente.
- Captura y registra los datos introducidos con el teclado.
- Captura las imágenes de pantalla y audio del dispositivo infectado.
- Encripta y ofusca la información que transfiere a los servidores de mando y control (C2).
- Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.
- Se ejecuta en segundo plano para evitar su detección.
Sistemas operativos objetivo:
- Windows
- MacOs
Recomendaciones
- Realizar capacitaciones internas en Ciberseguridad haciendo énfasis en el impacto y reconocimiento del Phishing.