TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Filtración de información confidencial.
Región inicial: México.
Comunidad objetivo: Financiero, Sector Privado.
ID MISP: 4725 y 4722.

Descripción

De acuerdo con una firma de ciberseguridad, se identificó una serie de ataques relacionados con la última versión del programa malicioso “LokiBot”, utilizado para obtener credenciales, y al cual actualmente le han agregado más funciones de desvío y anti-análisis.

En una reciente investigación, analizaron las últimas técnicas de ataque asociadas con esta campaña de robo de información, donde descubrieron que sus desarrolladores agregaron una tercera etapa a su proceso de comprometer sistemas, junto con encriptación, como una forma de evitar la detección de herramientas de seguridad.

La nueva técnica que los usuarios maliciosos han utilizado, consiste en implementar una cadena de infección para descargar y ejecutar código malicioso en forma de un troyano a los sistemas y así evitar la detección de las diferentes herramientas antimalware. En la campaña actual, LokiBot consta de tres etapas, cada una con una capa de cifrado, para intentar ocultar la fuente del código.

La primera etapa, consiste en el envío de correos electrónicos, donde se recibe un archivo de nombre “Fechas de pago programadas[.]xls” y con macros maliciosas. El usuario que recibe el documento, habilita la macro que descifra una URL, desde donde se descarga un archivo ejecutable empaquetado.

En la segunda etapa, se emplea un ejecutable con extensión .dll, la cual se utiliza para la obtención de una nueva URL que descarga una carga útil con el mismo formato .dll.

En la tercera y última etapa se agrega código malicioso en Notepad[.]exe, con la cual se ejecutan una serie de pasos, los cuales finalmente descifran y ejecutan “LokiBot”.

Esta amenaza ha permitido que los grupos maliciosos capturen y filtren información confidencial de los equipos de cómputo y dispositivos móviles comprometidos, así como evadir los sistemas de seguridad de los mismos.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas

  • Sistema Operativo Microsoft Windows

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • Nombre de archivo: Fechas de pago programadas[.]xls, ssix2ckoy[.]dll, 2020-10-12-XLS-with-macros-for-Lokibot[.]bin
    • MD5: e98b2ac88a1f33a371175e24c189ef5e
    • SHA-1: bd9207d48d365c37466abd11c4e10af114632bad
    • SHA-256: d5a68a111c359a22965206e7ac7d602d92789dd1aa3f0e0c8d89412fc84e24a5
  • Nombre de archivo: 2020-10-12-Windows-EXE-for-Lokibot[.]bin, Xehmigm[.]exe, F4090D[.]exe
    • MD5: 9f1f5ecb148e6e648a6a2466b29f7f2d
    • SHA-1: c7c0a7175a6a838348cc474b293c0847caf074b2
    • SHA-256: 6b53ba14172f0094a00edfef96887aab01e8b1c49bdc6b1f34d7f2e32f88d172
  • Nombre de archivo: lokibot[.]exe_
    • MD5: c3d750a3f79ba8542ad83bc929e29a90
    • SHA-1: 29d2687bfcee33bf9e6a05598611b20e95f72add
    • SHA-256: 93ec3c23149c3d5245adf5d8a38c85e32cda24e23f8c4df2e19e1423739908b7
  • Nombre de archivo: 400000[.]6b[.]exe_
    • MD5: e4331c292a663fe223a01e7773d896f8
    • SHA-1: f69948ef3675c3818e75ac698d5c60cc6d0784fc
    • SHA-256: c9038e31f798119d9e93e7eafbdd3e0f215e24ee2200fcd2a3ba460d549894ab
  • MD5
    • e98b2ac88a1f33a371175e24c189ef5e
    • 9f1f5ecb148e6e648a6a2466b29f7f2d
    • c3d750a3f79ba8542ad83bc929e29a90
  • SHA-1
    • bd9207d48d365c37466abd11c4e10af114632bad
    • f69948ef3675c3818e75ac698d5c60cc6d0784fc
  • SHA-256:
    • b36d914ae8e43c6001483dfc206b08dd1b0fbc5299082ea2fba154df35e7d649
    • 21e23350b05a4b84cdf5c93044d780558e6baf81b2148fdda4583930ab7cb836
  • Dirección IP
    • 104[.]223[.]143[.]132
  • Dominio
    • millsmiltinon[.]com
  • URL
    • hxxp://millsmiltinon[.]com/ojHYhkfkmofwendkfptktnbjgmfkgtdeitobregvdgetyhsk/Xehmgm[.]exe

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como SIEM, SOAR, IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la misma.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Verificar el remitente de cada mensaje de correo electrónico antes de realizar la descarga y acceso de cualquier documento adjunto.
  • Realizar campañas de concientización a los usuarios sobre el uso correcto del correo electrónico.

Referencias