TLP: White
Nivel de riesgo: [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Si el malware logra infectar el sistema de la víctima, el atacante que lo controla, puede tomar control remoto del dispositivo comprometido.

Descripción

Se ha detectado recientemente una campaña de ciberataques que tiene como objetivo a países de Latinoamérica como Brasil, Perú y México, pero desde hace varias semanas hay evidencias de un incremento en los ataques dirigidos a España, concretamente hacia ciertas entidades bancarias de dicho país. Las campañas relacionadas con el uso de un troyano bancario llamado Grandoreiro, el cual se distribuye únicamente a través de spam y ha estado activo desde 2017, utiliza comúnmente documentos adjuntos relacionados a facturas falsas. Los correos de spam empleados en los ataques están redactados de una forma muy pobre en cuanto a lenguaje y expresiones empleadas, suelen contener un enlace que redirige a la víctima a un sitio web comprometido, ya sea a través de un enlace en el cuerpo del correo o mediante un documento adjunto, lo que concluye la primera etapa de la infección.

En una segunda fase, el malware inserta en el equipo de la víctima un “payload” de Grandoreiro a través de una URL codificada, cuando la víctima accede a una de las entidades bancarias, a través del sitio web, que el malware tiene almacenadas, se le notifica al atacante, quien puede tomar el control remoto del dispositivo comprometido. Una vez que la víctima accede a su servicio de banca online, el atacante es capaz de mostrar pantallas superpuestas a las legítimas, haciendo creer a la víctima que está introduciendo estos datos en la web del banco, cuando en realidad lo está haciendo sobre un sitio web malicioso, por último, los datos introducidos son codificados y enviados a los servidores C2.

Nivel de riesgo

  • [Medio]

Indicadores de compromiso IoCs

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada:

  • SHA1
    • 40FBC932BD45FEB3D2409B3A4C7029DDDE881389
    • 7905DB9BBE2CB29519A5371B175551C6612255EF
    • BD88A809B05168D6EFDBA4DC149653B0E1E1E448
    • 7C2ED8B4AA65BEFCC229A36CE50539E9D6A70EE3
    • 27A434D2EF4D1D021F283BCB93C6C7E50ACB8EA6
    • 28D58402393B6BCA73FF0EAC319226233181EDC9
    • 42892DF64F00F4C091E1C02F74C2BB8BAD131FC5
    • BCED5D138ACEADA1EF11BFD22C2D6359CDA183DB
  • SHA-256
    • a8ce4d4e61236b1e7596193163214e803abe223e5616b826661642b166e25486
    • b1e4ae121886039ea865549d0cb81f1f954056545a5aec487a538ae5f616bb52
    • 5e03f24eb44630e351d99a3dcb2f749520f3b01a41da8915e61333b8a827935a
    • 79181209f9d352136e6f3c496fcd99356f2b92a9e07271cd5cea433629771f24
    • 973872421b24e0f7bb98a89a78b8fc16630f9afb35dba15852f8b3acf8a739c9
    • 424cab9401adc2bf7ad478eb33dabeb2df00838959ee7f089b74175530bbcccc
    • 8e134226dd9fa93ab9ff34bf7459b56b0e9de1db23e6d69efe941adf91bbb66a
    • 85dc3e2940d21966d4c596428de7f32b14ef7ebb7a0475748e8920714fec84f4
  • MD5
    • a04b0a65443828be16d2c61b40093898
    • c94ec48e18fbfbda9f299ab46672c997
    • 26108b36a9348bb7813c314d97a90fb7
    • 4230d993c2113a7ffa7fcdcd4f554490
    • e336bb69bf7df42b6b94a6d9d00442a1
    • 7406cc3727e91a0a3762b9ae9c6cd1d6
    • f973be3b3e5b0953f50b6e2454852046
    • d69a2b5b8112f3bbd34fbb6319171a04
  • Registro
    • HKCU\Software\%USER_NAME%
    • HKCU\Software\ToolTech-RM
  • Filename
    • MDL_YEL_01[.]dll
    • MDL_BLU_BR_02[.]dll
    • MDL_SIC_BR_03[.]dll
    • MDL_SANT_BR_04[.]dll
    • MDL_ITA_BR_05[.]dll
    • MDL_BRADA_BR_06[.]dll
    • MDL_SICCB_BR_07[.]dll
    • MDL_SAFRA_BR_08[.]dll
    • MDL_ORIGI_BR_09[.]dll
    • MDL_NORDES_BR_10[.]dll
    • MDL_BANEST_BR_11[.]dll
    • MDL_BANEZE_BR_12[.]dll
    • MDL_AMAZON_BR_13[.]dll
    • MDL_UNICRE_BR_14[.]dll
    • MDL_BRB_BR_15[.]dll
    • MDL_WUPDATE_BR_001[.]dll
    • mal[.]exe
    • ext[.]zip
  • USER-AGENT
    • h55u4u4u5uii5

Medidas de contención

  • Instalar y actualizar la solución antivirus, EDR y antispam.
  • Configurar en los dispositivos de seguridad que así lo permitan los indicadores de compromiso compartidos.
  • Realizar campañas de concientización al personal de la organización.
  • Deshabilitar la ejecución automática de macros en documentos Microsoft Office.

Medidas de Erradicación

Una vez identificada la infección por el malware en el equipo infectado es necesario establecer mecanismos que nos permitan erradicarla.

  • Realizar un escaneo con un antivirus actualizado.
  • Utilizar programas de eliminación automática de malware.
  • Eliminar manualmente el malware, considerando ejecutables, registro del sistema, tareas programadas, servicios comprometidos y herramientas complementarias que hayan sido descargadas.
  • Una premisa en equipos comprometidos y de los cuales no se tenga certeza de la eliminación por completa de los artefactos maliciosos es la reinstalar el sistema operativo./li>

Referencias