Fecha de publicación: Lun, 03/06/2024 - 19:14

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción:

Se ha detectado una campaña de correos electrónicos fraudulentos que contienen archivos adjuntos con código malicioso. El malware modifica una clave del registro relacionada con la configuración de internet llamada "ProxyBypass". (Esta clave controla si el sistema puede evitar usar un servidor proxy configurado).

Al modificarla, el malware intenta evadir las protecciones de seguridad de la red o redirigir el tráfico de internet del usuario a servidores maliciosos controlados por atacantes. Se ha observado esta campaña desde entidades tanto públicas como privadas.

Comportamiento:

  • El ejecutable roba credenciales de navegadores web
  • Lee la configuración de internet
  • Intenta robar las contraseñas, e información de inicio de sesión disponible en el navegador. Al leer la configuración de seguridad del navegador de internet puede identificar vulnerabilidades en el mismo
  • Accede a los perfiles de Microsoft Outlook. Esto sugiere que está buscando información confidencial en el terminal de la víctima filtrando todos los datos posibles. Intenta conectarse al puerto SMTP.
  • Intenta enviar la información robada a un servidor externo controlado por los atacantes.
  • Al conectarse a la IP 224.0.0.252, el malware puede identificar dispositivos que están configurados para recibir tráfico multicast, por lo tanto existe la probabilidad de que el malware escanee la red local en busca de dispositivos vulnerables para propagarse.

Indicadores de compromiso

Nombre y extensión de archivos identificados:

  • Archivo 1 adjunto 09404copy.r09 contiene el ejecutable 09404copy.exe
  • Archivo 2 archivo adjunto 09404copy.iso contiene el ejecutable 09404copy.exe
TIPO VALOR
 MD5  0b8520b2ca11a564f4b6c5beb2328e74
 SHA1  d2246ee97c6bbbd6a224aae369e1fbca761b7df5
 SHA256  670e7efa76179b31cfe4b1f20a4edbdef2115fce36a1ca64102a8422ba4e691f
 SHA256  91a58a047d6ea0c7ddb7c89b0a43a5453fd5d7145c78a836ef803d5fb0f65254
 (Archivo eliminado cuando se inicia el ejecutable)
 IPv4  224[.]0[.]0[.]252 (Resolución de nombres multicast local)
 IPv4  208[.]91[.]199[.]224

Recomendaciones

  • Verificar que el correo electrónico recibido coincide con la que esperas antes de abrir y ejecutar el archivo.
  • Si no se tiene conocimiento del remitente, no abrir el correo electrónico ni hacer clic en ningún enlace o archivo adjunto.
  • Comprobar la ortografía y la gramática. Los correos electrónicos maliciosos a menudo contienen errores ortográficos y gramaticales.
  • No hacer clic en enlaces a menos que estés seguro de que son seguros. Pasa el cursor sobre los enlaces para ver la dirección URL real a la que te dirigirán.
  • Tener cuidado con los archivos adjuntos, especialmente si son de un tipo de archivo que normalmente no recibes o si no estás seguro de su procedencia.
  • Tener cuidado al descargar software. Descargar software solo de sitios web confiables y evitar hacer clic en enlaces o anuncios que podrían redirigir a sitios web maliciosos.
  • Verificar conexiones salientes hacia las direcciones IP indicadas en los indicadores de compromiso.
  • Si hubiera actividad del malware, cambiar las credenciales de la cuenta comprometida, evitar guardar las credenciales en el navegador y realizar un análisis de malware en los equipos usados por la cuenta.

Referencias: