Nueva campaña de Phishing utiliza de compañía telefónica y técnicas avanzadas de persistencia


El centro de ciberseguridad y ciberinteligencia (CyberSOC) de Arkavia Networks informa de una nueva cadena de Phishing la cual utiliza el nombre de una importante empresa de telefonía, que busca engañar al usuario víctima sobre un pago realizado incorrectamente en la cuenta del titular. Asumiendo que es relativamente sencillo conocer la compañía en la que se encuentra una persona, se estima que el público objetivo pudo haber sido estudiado para potenciar el Phishing.


Los asuntos del correo parten con mensajes correspondientes a una seguidilla de “Avisos” que incitan al usuario descargar el archivo adjunto. Este archivo con nombre “download-EMPRESA.zip” el cual contiene el archivo de dropeo con el mismo nombre pero con extensión .MSI.

Al ejecutar este archivo comienza el proceso de infección; primero detecta si está siendo ejecutado en una máquina virtual (sandboxing), o en un computador de escritorio (posible usuario), para luego ingresar la carga maliciosa y enseguida reiniciar el computador.   

Al instalar el paquete MSI, se modifican los archivos de registro (técnicas anti-máquinas virtuales) y se observan dos archivos, unos .EXE y otro .DLL.  que se alojan en “Mis documentos”.

EL archivo .EXE, genera los procesos y registros, seguidamente genera persistencia y pueden verse procesos como : “OZIW6737LTREEE.exe”. El Archivo .DLL (shfolder.dll) soporta la carga maliciosa, y es llamado por el proceso “OZIW6737LTREEE.exe” cuando se generan consulta cualquier tipo de categoría Web. Siguiendo este comportamiento, se pudo evidenciar una dirección IP que es utilizada como servidor de comando y control (C2), 23.108.57.34 al puerto 8350. Adicionalmente, se observaron diferentes destinos consultados por el “OZIW6737LTREEE.exe” a los puertos 443 de las siguientes direcciones IP:  54.210.241.174, 190.215.35.164.


El malware viene de la familia Mekotio, un troyano bancario, según los resultados del análisis de la pieza maliciosa principal del motor de VirusTotal.

Indicadores de Compromiso (IoC)

URL’s maliciosas

descargadoc[.]com
http://descargadoc[.]com/favicon[.]ico
http://descargadoc[.]com/downs/?DescargarFactura9123812839457
107.180.2.89

Servidores de Comando y Control (C2)

23.108.57.34
54.210.241.174
190.215.35.164

Archivos Maliciosos Asociados

Archivo ZIP descargado (download-EMPRESA.zip)
E124784EA2B9FE3738177E5CBE5F978784284B9AD0FF0F36BF88EFA039ED56F2

MSI9F13.tmp
9692A12BAF2113DB4921678F3CF8746933D26D05141748FE09DCEF11E5D94F54

OZIW6737LTREEE.exe
681CCC9E5BAB3A23B3CE31FDC1EB8DB268E79E1521E748D8F8C951D10A3A096C

shfolder.dll
4236F4D3626E61DC37D83CBD26597EE2CE1ADCBFDB36BF101435D0D3E134B4EA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,26,Antivirus,3,Apple,13,Apps,11,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,107,ciberseguridad,73,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,2,Empresas,111,Eventos,5,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,25,Hacking,80,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,21,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,12,Ransomware,7,Recomendaciones,15,Redes,29,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,29,Software,23,Spyware,11,updates,21,Vulnerabilidades,60,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: Nueva campaña de Phishing utiliza de compañía telefónica y técnicas avanzadas de persistencia
Nueva campaña de Phishing utiliza de compañía telefónica y técnicas avanzadas de persistencia
https://1.bp.blogspot.com/-n-TfpgHC4cg/XV8SeCmk-ZI/AAAAAAAABog/yo-jvHY9eHk-Mk-54dZbHyFJyLYyUwT2wCLcBGAs/s640/mekotio.jpg
https://1.bp.blogspot.com/-n-TfpgHC4cg/XV8SeCmk-ZI/AAAAAAAABog/yo-jvHY9eHk-Mk-54dZbHyFJyLYyUwT2wCLcBGAs/s72-c/mekotio.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/08/nueva-campana-de-phishing-utiliza-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/08/nueva-campana-de-phishing-utiliza-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy