TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Robo de información confidencial.

Descripción

Una firma de seguridad ha identificado una nueva variante relacionada con el troyano “LodaRAT”, el cual fue descubierto por primera vez en el año 2016 y ha sido utilizado en diferentes campañas de phishing.

Anteriormente, los atacantes enviaban correos electrónicos con archivos adjuntos y macros maliciosas que aprovechaban la vulnerabilidad con el identificador CVE-2017-11882 (CVSS v3.0 7.8 [Alto]), la cual está presente en Microsoft Office. Sin embargo, en esta nueva variante, los usuarios maliciosos realizan el envío de mensajes de correo electrónico con un documento adjunto con extensión “.REV”, sin embargo, corresponde a un archivo “.RAR”. Una vez en el equipo, solo es necesario que el usuario ejecute el programa para ser víctimas del troyano LodaRAT.

En esta nueva versión, también se ha observado el uso de un programa malicioso de PowerShell con codificación hexadecimal, el cual es el encargado de capturar las pulsaciones del teclado. Además, se ha identificado que los atacantes han estado haciendo uso de servicios legítimos como “Ngrok[.]io” y “portmap[.]io” para establecer conexión con sus servidores de Comando y Control (C&C).

La nueva variante del troyano LodaRAT tiene como principal objetivo robar información confidencial, ya que obtiene el registro de las pulsaciones del teclado, realiza capturas de pantalla y accede a datos almacenados en los navegadores Web, como, por ejemplo, credenciales de acceso y cookies.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5
    • 1515a5c693145dfb8b7a81050d4ad7c1
    • 010fe248f5c918cea3051df45a64b420
    • 2d5c61935f9d870e940ec8e7c42ae26b
    • 19a108631331c5d533b0b0788cabafee
    • 55344011c4ecd81be4ad18b091b8028c
    • 81d2eacd6fa43b2560865e44a87780a2
    • 5468137378656f6525ef86b79ab48012
    • 68bd21f2938c88ebecf906e8ec9a9d36
    • ab5b9dd6a6650476fc891df0834ee6f0
  • SHA-1
    • ce767be0d7cdb1d6886e4c31db9cea42ad0b1d5e
    • eba75f672fb234f9b5972977a168503f2a8e629b
    • 7fb823deed5f5f071bc8478fffc8da388c040ae9
    • dd2572ca49e0d374f425017f1d8f09149b12a79f
    • 2e0f56afe21f644f4cd20ada8479497a2ea83535
    • d76e276c34d360cfeed4fa04cd22f3992a667d75
    • ee9911269a160f1b20964ab34b2bac63de15dbda
    • cb9f803e7234c16f30e45b7ee4202d4527b07800
    • 37041556db6ce7a3d972eaf0d81f64a63085abf0
  • SHA-256
    • 0d181658d2a7f2502f1bc7b5a93b508af7099e054d8e8f57b139ad2702f3dc2d
    • fcbaf2e5ed0b1064da6a60101f231096164895328fd6c338b322b163d580b6e3
    • cf40e1ec36f44e20a9744e8038987527027e2a6ee7e96d9044842f92ece9d7e8
    • 05d2fa5bb97f37edaaff99f58ffedbd438e928fb3881ede921a19b07fb884b0b
    • 866397c8db26190c5a346bd863d9beb81e53d96011af9a3be6eeb713bbb57287
    • cfb12ee4004cea2a396e1cecd7105760b17a73a67a95156d675cfec76fc37ba2
    • 70526973e70acef4a71f474b0e321b9e600a327522903ee6bfac4e6f07935f7f
    • f169680d8f24694e2d99c9df31988511e212e088f4dc2854ef059915019e8348
    • 2d317bcccea4739b2deefcc3b14cf5eafe147162f62c5ff1288db3635b5c3f10
  • URL
    • hxxp://roodan888tools[.]atwebpages[.]com/ng[.]txt
  • Direcciones IP
    • 174[.]126[.]51[.]178

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias