Descripción
Un análisis realizado por una firma de ciberseguridad ha identificado un nuevo programa malicioso relacionado con el grupo “Evilnum”, el cual fue identificado por primera vez en 2018 y ha afectado a organizaciones financieras y comerciales, de manera central en la Unión Europea, Reino Unido, Australia y Canadá.
Según las investigaciones, el grupo ha agregado un nuevo programa del tipo RAT (Remote Access Tool) llamado “PyVil”, el cual ha sido desarrollado en Python, se distribuye por medio de correos electrónicos phishing y permite a los usuarios comunicarse con el dispositivo de la víctima.
Además, de acuerdo con los expertos se ha identificado una campaña maliciosa relacionada con PyVil, la cual está dirigida principalmente contra organizaciones de Tecnología Financiera (FinTech) con usuarios en Reino Unido y la Unión Europa. Esta campaña se distribuye por medio de correos electrónicos con información de regulaciones de KYC (Know Your Client), engañando al usuario para descargar un archivo “zip” o un “pdf” malicioso.
Una vez en el equipo, PyVil se ejecuta e inicia la comunicación con el servidor Comando y Control (C&C) a través de solicitudes POST HTTP cifradas mediante el algoritmo RC4. Posteriormente, el programa crea persistencia en el equipo mediante una tarea programada y realiza otra conexión al C&C recibiendo un archivo que se guarda en el equipo como “fplayer.exe”, el cual parece ser una versión modificada del instalador del controlador “Stereoscopic 3D” legítimo de Nvidia.
Es importante mencionar que PyVil permite a los atacantes registrar las pulsaciones de teclas, ejecutar código, tomar capturas de pantalla, descargar archivos y recopilar información del dispositivo, por ejemplo programas de antivirus, dispositivos conectados y versiones de navegadores Web.
Nivel de riesgo
- Alto
Sistemas/tecnologías afectadas:
- Sistemas Operativos Microsoft Windows.
Indicadores de compromiso (IoCs)
A continuación se listan los Indicadores de compromiso (IoCs) identificados hasta el momento relacionados con el programa malicioso reportado en esta alerta:
- SHA-256
- db5d09edc2e9676a41f26f5f4310df
9d13abdae8011b1d37af7139008362 d5f1 - 3b7cd07e87902deae4b482e987dea9
e25a93a55ec783884e8b466dc55c34 6bce - c7cf5c62ecfade27338acb2cc91a06
c2615dbb97711f2558a9379ee8a530 6720 - f5f79e2169db3bbe7b7ae3ff4a0f40
659d11051e69ee784f5469659a708e 829e - cff5ed4de201256678c7c068c1dbda
5c47f4b322b618981693b1fd07a0ea 7e68 - 83c375dcdadb8467955f5e124cf4e8
d6eac78c51c03fb7393dc810a243ba 1a90 - 4ce0954ca7173bd696afe8f44bf480
27b3d4d630c0cce414b95d6715e662 b5fb - 0d7dc074be83f1096f39ba95bfc4e1
a17c411dbed0e5eeeb48e88a12d79b 541c - 4e396586fd6dfcc24686aae73ba5c3
36939ee7a7aa9ffb76a1f78867926c 6e4b - 5aa1109d057e830d6f3faf4b6ff6f6
9075d158dadb5f46794b3e07685922 d09d - 25c119a7ee5b53212b5992992907a7
772610b491ce2992c860dc206d0f3f 844d - e678ec3dbccfbd5cf0f303d2841e72
6ac7628044de5297bf9ebe791d6627 0a2f - a81f152a31c03b45dbcf29439050bb
e080b1f6308b032aebc0205886d1f4 1e5d - 6136309a207b89ccd423f8c087a9cd
d633d8f5e78b8ebd576b7750b49274 c532 - 0c920e7dfdd0028d9d15344c2e9c64
ae57c2c9417dc7b22b865fdfe0cc0b 8b1f - 79e21ff9142821b2e3d6e3dc8d812e
86da231dbbd1217415b4add748a4c1 ce3c - c4b90fdec0848ad68abe18a42889ec
0e5e45b7678afbf0353fedf53915b7 6275 - 79e21ff9142821b2e3d6e3dc8d812e
86da231dbbd1217415b4add748a4c1 ce3c - 4574239efb728913fd379cc914039b
1d7fa8c3ac8d6e3503d6f5bc73de50 4c96 - 79b032dbb8ade21b97be5dcaa63c97
4b6cdbb3c6f32b4abf2872288ae43e a4a6 - 1a3f39dc604dbca691aefeaf1d5a37
2fbca3650003d4145671525a2960e1 239e - bdc20527d5afc4f13fa45c9182c8f5
8eb88cb4edc76aa38be83d95fd3365 ce0a - 048388c04738763c0ec57124e3a88f
c82a545639636fb5ed6cd397881dd6 ced9 - 11d9a87b144c0eaf71e8dea1b08117
d464ed7f24a6e716e935e0c7f3a7e0 3edc - 0b95c8c70d2dad47baef15d0299cd7
e273e8a59ae0420921632b21789a80 aef0
- db5d09edc2e9676a41f26f5f4310df
- Direcciones IP
- 193.56.28[.]201
- 185.236.230[.]25
- 5.206.227[.]81
- 176.107.188[.]175
- Dominios
- voipasst[.]com
- voipreq12[.]com
- telecomwl[.]com
- crm-domain[.]net
- leads-management[.]net
- fxmt4x[.]com
- xlmfx[.]com
- telefx[.]net
- voipssupport[.]com
- trquotesys[.]com
- extrasectr[.]com
- veritechx[.]com
- quotingtrx[.]com
- vvxtech[.]net
- corpxtech[.]com
Medidas de Contención
- Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Mantener actualizadas las firmas de los antivirus y los sistemas operativos
- Concientizar a usuarios finales respecto a este tipo de campañas.
Referencias