El centro de ciberseguridad y ciberinteligencia (CyberSOC) de Arkavia Networks informa de una nueva cadena de Phishing la cual utiliza el nombre de una importante empresa de telefonía, que busca engañar al usuario víctima sobre un pago realizado incorrectamente en la cuenta del titular. Asumiendo que es relativamente sencillo conocer la compañía en la que se encuentra una persona, se estima que el público objetivo pudo haber sido estudiado para potenciar el Phishing.
Los asuntos del correo parten con mensajes correspondientes a una seguidilla de “Avisos” que incitan al usuario descargar el archivo adjunto. Este archivo con nombre “download-EMPRESA.zip” el cual contiene el archivo de dropeo con el mismo nombre pero con extensión .MSI.
Al ejecutar este archivo comienza el proceso de infección; primero detecta si está siendo ejecutado en una máquina virtual (sandboxing), o en un computador de escritorio (posible usuario), para luego ingresar la carga maliciosa y enseguida reiniciar el computador.
Al instalar el paquete MSI, se modifican los archivos de registro (técnicas anti-máquinas virtuales) y se observan dos archivos, unos .EXE y otro .DLL. que se alojan en “Mis documentos”.
EL archivo .EXE, genera los procesos y registros, seguidamente genera persistencia y pueden verse procesos como : “OZIW6737LTREEE.exe”. El Archivo .DLL (shfolder.dll) soporta la carga maliciosa, y es llamado por el proceso “OZIW6737LTREEE.exe” cuando se generan consulta cualquier tipo de categoría Web. Siguiendo este comportamiento, se pudo evidenciar una dirección IP que es utilizada como servidor de comando y control (C2), 23.108.57.34 al puerto 8350. Adicionalmente, se observaron diferentes destinos consultados por el “OZIW6737LTREEE.exe” a los puertos 443 de las siguientes direcciones IP: 54.210.241.174, 190.215.35.164.
El malware viene de la familia Mekotio, un troyano bancario, según los resultados del análisis de la pieza maliciosa principal del motor de VirusTotal.
Indicadores de Compromiso (IoC)
URL’s maliciosas
descargadoc[.]com
http://descargadoc[.]com/favicon[.]ico
http://descargadoc[.]com/downs/?DescargarFactura9123812839457
107.180.2.89
Servidores de Comando y Control (C2)
23.108.57.34
54.210.241.174
190.215.35.164
Archivos Maliciosos Asociados
Archivo ZIP descargado (download-EMPRESA.zip)
E124784EA2B9FE3738177E5CBE5F978784284B9AD0FF0F36BF88EFA039ED56F2
MSI9F13.tmp
9692A12BAF2113DB4921678F3CF8746933D26D05141748FE09DCEF11E5D94F54
OZIW6737LTREEE.exe
681CCC9E5BAB3A23B3CE31FDC1EB8DB268E79E1521E748D8F8C951D10A3A096C
shfolder.dll
4236F4D3626E61DC37D83CBD26597EE2CE1ADCBFDB36BF101435D0D3E134B4EA
COMENTARIOS