El centro de ciberseguridad e inteligencia (CSOC) de Arkavia Networks ha descubierto una nueva oleada de ataques del grupo TA505, el actor de amenazas del cual hemos estado comunicando a través de nuestro blog desde la semana pasada. TA505 creador de la botnet Amadey e impulsor de las campañas de phishing dirigidas al mundo, ha potenciado y dirigido sus ataques a américa latina.
El flujo de infección parte desde las campañas de phishing impulsadas por el grupo a través de un archivo adjunto con extensión .xls con nombre “P1804201801.xls” el cual descarga por macros maliciosas “pbc.exe”, que se encarga de cargar otros archivos, entre ellos “ES_a.exe” (Trojan-Dropper.Win32) que roba credenciales de usuario, junto con "p.exe" (FlawedAmmyy.RAT), que conecta al servidor de C2 (Command & Control) de la botnet Amadey.
Nuestros investigadores accedieron al panel más reciente del C2 de la botnet en donde se obtuvieron las estadísticas y el archivo principal de distribución llamado “pub4.exe”, el cual fue procesado por VirusTotal y Hybrid, clasificado como malware con características de GandCrab, que de forma potencial puede encriptar los archivos de las máquinas infectadas.
Se ha analizado el comportamiento de la infección desde el día 18 al 25 de abril. El número de equipos afectados en latinoamérica son Chile 224, Argentina 424, Brazil, 2693, Colombia 136, Ecuador 134, Peru 298, Bolivia 70, Uruguay 61, Venezuela 38, Paraguay 36.
El acceso a permisos de administrador llegan a los 15.077 equipos. La mayor parte de las máquinas afectadas corren en el sistema operativo de Windows 10.
Se realizó una revisión a nuestros de clientes de Arkavia Networks los cuales no muestran actividad maliciosa
Indicadores de Compromiso (IoC)
Archivos Maliciosos
P1804201801.xls 5648c9fe33bf3abc281759e3576d49884d69ae2533cc98742383eb48126a1450
p.exe
388769cfe8894c84cce9de27ea27f31fdeec5178db3c27cb6e969225e7bc4669
ES_a.exe
07cf50112119f3f009cf0d9619beb8cd55e2e24eb089bd241c14ea4c90a1217f
Solicitudes HTTP/HTTPS (P1804201801.xls)
cloudflare[.]com
canyoning-austria[.]at
Archivo de carga (p.exe SHA-256)
C:\ProgramData\MicrosoftsHeIp\wsus.exe 618e2117679aed87c4090d1d8211a8eafe059e174552e1518534b706776d032d
Direcciones IP (p.exe)
160[.]202[.]162[.]147
169[.]239[.]128[.]119
Solicitudes HTTP/HTTPS (p.exe)
hxxp://160[.]202[.]162[.]147/1[.]tmp
Archivo de carga (pbc.exe SHA-256)
C:\Users\admin\AppData\Local\Temp\exit.exe cc81dd1eba5b887d09b0eecb8443916dea82dc58e1cf847f1653413fb804210c
C:\Users\admin\AppData\Local\Temp\kernel.dll 17b20aa770ccf250b5aded470fbbaa329856543022ba21f993d5fa02ebb670c7
Archivo de Distribución (SHA-256)
pub4.exe 1071c165e8e023f38627418652d3a13029dcd3216416979dc20adbabf366c16d
Dirección IP (pub4.exe)
185[.]212[.]129[.]54
Servidor de comando y control (C2)
hxxp://dsuda2[.]com/upload/
COMENTARIOS