TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Robo de información confidencial.

Descripción

Investigadores de una firma de seguridad han detectado una nueva campaña de correo electrónico, donde se distribuye el derivado de un troyano bancario conocido como “Mispadu”.

Mispadu es una familia de programas maliciosos que ha estado activo desde el año pasado, el cual utiliza diferentes temas para propagarse y ha afectado de manera principal a Brasil y México.

Según las investigaciones, la campaña actual suplanta la identidad de Facebook y tiene la capacidad de robar credenciales cuando un usuario accede al sitio Web de una entidad bancaria, deshabilitar los mensajes de error e implementar técnicas de evasión y ofuscación de datos, además, de detectar si se encuentra en un entorno virtual.

En el correo electrónico mencionado, se intenta a engañar a la víctima enviando un mensaje referente a que una supuesta foto del usuario ha sido reportada, además, se envían varios enlaces para verificar la denuncia.

uc?export=view&id=1bB8jSVN8kGJJoiJBbqSxt_gcQmn0uXnN

Figura 1. Correo fraudulento suplantando a Facebook

Los enlaces en el mensaje llevan a la URL: “hxxps://is[.]gd/udYiup” que redirige a la descarga de un archivo comprimido llamado “JPG-IMAG004040923-W4V1[.]zip”, el cual, de acuerdo con las investigaciones, está alojado en los servicios de Cloud Amazon bajo la URL “hxxps://madbdd[.]s3-sa-east-1[.]amazonaws[.]com/JPG-IMAG004040923-W4V1[.]zip”.

Al descomprimir el “.ZIP” descargado, este contiene un archivo “.msi” malicioso que al ejecutarlo comienza la cadena de infección realizando 4 procesos en paralelo, deshabilitar los mensajes de error de la aplicación, consultar la información del volumen de un dispositivo, comprobar el espacio libre de almacenamiento de los discos del sistema, y finalmente verificar las unidades disponibles, con el objetivo de identificar e infectar unidades de almacenamiento externas.

Ya realizadas las actividades anteriores, se procede a descargar un archivo “.vbs” (Visual Basic Script) que se ejecuta con un proceso legítimo de Windows “WScript[.]exe, y que contiene instrucciones para realizar cambios en la configuración del equipo.

uc?export=view&id=10ZbxpSJBC-NdAtLjLARLkWSvGHKhlEhG

Figura 2. Script VBS

Además, Mispadu crea múltiples llaves en el registro de Windows en la ruta “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings”, las cuales se pueden observar en la siguiente imagen.

uc?export=view&id=1xF3lu-KERqyKROwWUJYUtsNg_MYHr7HP

Figura 3. Llaves de registro creadas

Los investigadores también observaron que este código malicioso realiza comunicación con la URL: “hxxp://foxmedia[.]sytes[.]net/w/nj41[.]php” pero hasta el momento, se desconoce la finalidad de la misma, ya que no se encontraba activa en el momento del análisis.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5
    • A4EF139FAFE87A32B2373E4B2D1332DE
    • AE6BC61B719764BC4985A1A139F928C8
    • 4767B71A318E201188A0D0A420C8B608
    • 12C17B5A5C2A7B97342C362CA467E9A2
    • 7075DD7B9BE8807FCA93ACD86F724884
  • SHA-1
    • DC45BE8244DACA749AE14BE8D8FDD01616D44D20
    • 1B5DC3118CA4A3F878E427BC89DFA12260E30223
  • SHA-256
    • E21CC334724D8F6939F04E4FE96C154ECC2DC6217C28F535E03683BE935D5560
    • B3568B34A4322DCDB91278D26999E1DEC5B5E12DB5A0BF5B6C246FB473355C9C
  • URL:
    • hxxps://is[.]gd/udYiup
    • hxxps://madbdd[.]s3-sa-east-1[.]amazonaws[.]com/JPG-IMAG004040923-W4V1[.]zip
    • hxxp://54[.]91[.]125[.]34[.]bc[.]googleusercontent[.]com/filtro/category/view/id/46/espanhalamexicon/
    • hxxp://foxmedia[.]sytes[.]net/w/nj41[.]php
  • Archivos:
    • JPG-IMAG004040923-W4V1[.]zip
    • JPG-IMAG004040923-W4V1[.]msi

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias