TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Obtención de información confidencial.

Descripción

Un análisis realizado por una firma de ciberseguridad ha identificado un nuevo troyano bancario denominado “URSA”, el cual ha afectado a países como Argentina, Chile, Paraguay, Brasil, México, Ecuador, Perú, Colombia, Costa Rica, Portugal, España e Italia.

En estas semanas, los usuarios maliciosos han estado realizando la propagación de este programa por medio de mensajes de correo electrónico phishing, suplantando diferentes entidades y compañías de países de Europa y América Latina. Generalmente, los correos contienen información falsa sobre facturas vencidas u otra información, donde solicita a los usuarios realizar la descarga de un archivo “.zip”, a través de una URL maliciosa adjunta en el mensaje de correo electrónico.

Al realizar la descarga, la carpeta contiene un archivo de extensión “.msi” y otro archivo “.vbs”, los cuales al ser ejecutados realizan la infección en el equipo.

URSA tiene como objetivo realizar exfiltración de contraseñas de los navegadores Web, de servicios de correo electrónico, además las funcionalidades de superposición de ventanas de sitios Web para recopilar información confidencial, capturar datos de servicios FTP o instalar otro tipo de programa malicioso.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • Direcciones IP
    • 191[.]235[.]99[.]13
    • 52[.]91[.]227[.]152
    • 87[.]98[.]137[.]173
    • 51[.]81[.]104[.]17
    • 51[.]143[.]39[.]80
    • 51[.]222[.]39[.]127
    • 66[.]70[.]237[.]175
    • 51[.]222[.]39[.]128
  • MD5
    • 3be539aa8d421d09cef27723a98d2d83
    • a4f066196b1009c42c1dea74f857180d
    • bda287c97d9373052f347ac0ccedfdf8
    • 09335fe1e4f27029a8ec6087e0de1f4
    • 2d2f3500836ed60303103bafac6357a3
  • SHA-1
    • 83c6832a871398fc925bd6e9f387dcb43a99b1e2
    • dd4b7d4d0415dd365f4ecd614674769131f4d853
    • daa4780e80cb3038fc9830a30ee5f474a3b1b65d
    • 3fc7e6a993d0acd8aa02c9032419588c143df759
    • 7c8066572751aaf40a2d67ed69af62612fcd23f3
  • SHA-256
    • 23892054f9494f0ee6f4aa8749ab3ee6ac13741a0455e189596edfcdf96416b3
    • d1fb8a5061fc40291cc02cec0f1c2d13168b17d22ffcabea62816e14ed58e925
    • 5b91c8acffe1980653718a493e24bde7211ee825ea2947df54c03e9733d61a70
    • 93488eab403fafb3d8e10d38c80f0af745e3fa4cf26228acff24d35a149f6269
    • fb91bdd5ee38a3e163231fa78fd85e2da890e4e116ac530f2b4879e0e50a76a5
  • URLs
    • hxxps://medeiros-boatworks[.]com/wp-content/!/hxxps:/my[.]vodafone[.]pt/?client=xxx;
    • hxxps://publichealth[.]msu[.]ac[.]th/eng/wp-content/languages/–/my[.]vodafone[.]pt/?client=xxx;
    • hxxps://robyn-plombier-chauffagiste[.]fr/wp-admin/css/
    • hxxp://191[.]235[.]99[.]13/lp1a[.]php
    • hxxp://191[.]235[.]99[.]13/m/

Medidas de contención

  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con la actividad maliciosa notificada y realizar un análisis a mayor profundidad.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias