TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Descarga de código malicioso en la red.

Descripción

Un equipo de respuesta a incidentes de seguridad ha identificado un nuevo método de distribución de código malicioso, utilizando un sitio parecido a “Pastebin”, página Web donde los usuarios pueden compartir información como puede ser texto, código fuente, brechas de datos, entre otros, en donde una característica primordial es su publicación en modo Anónimo si se requiere.

El sitio Web identificado en esta campaña es “paste[.]nrecom[.]net”, el cual fue creado para compartir código o texto al público general, a la fecha el mismo se encuentra dado de baja debido a que concentraba un gran número de códigos maliciosos usados por grupos de ciberdelincuentes

La forma de distribución comienza mandando correos electrónicos phishing con archivos maliciosos adjuntos a los usuarios, los archivos adjuntos pueden ser documentos de Word con macros maliciosas, archivos comprimidos .ZIP o ejecutables .EXE, que al momento de ser iniciados ejecutan un programa para establecer conexión con el sitio Web “paste[.]nrecom[.]net” y empezar con la descarga del resto de código malicioso.

Para que estos códigos no puedan ser identificados por sistemas de seguridad, los atacantes ofuscan los archivos binarios mediante base64 antes de ser alojados como archivos de texto plano y así evitar las alertas de algunos sistemas de seguridad.

De acuerdo con las investigaciones, algunos de los programas maliciosos identificados en las campañas son: AgentTesla, LimeRAT, W3Crytolocker y REdline Stealer.

Nivel de riesgo

  • [Medio]

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 022d911560f38d5165ea4196ac74a141531d3e244cdc9be895e539f7143a7bbb
    • 39ba64584fb99652e9d2c05b4afdf139317f5f2a052611b989257047cc12db74
    • 4784f1dbfcafcef10bdfd6c2021b1e74a826917715fd84a91f610a8b6a3bdc4f
    • 7fe854ce78e7ab7cafcc299b4f2a4ee82cc366d47f9a8961727365e45688bb4c
    • ac97cd95119446e96dd0bc35a4b9dc67f4ef2853e298dc145c7588807022d808
    • 0e044c8570122a280c963cac80e0140da78ee0d378cd17cab4ea6f146ce35d15
    • 6e960e703df3fdea6667d9c5b671e3efc05c692eb6875edc74c5ccc8ade52ac7
    • c8abcedb3ec20f7ab5d9b98cc32f03b318eba61f344e0537e4d4de673422c6b1
    • b4e0b3b783072b5266988f11bd5af2235b432619a42466fea81a35cb5edc4eea
    • 23528e75315abed2f7a86fad26036ef1626311c3838153cb8a96bd938f0055ac
    • 0374033592ba3bfa76d5046af2eaf4506166b157aae2c5a396c827b36d4738ca
    • 6462c93c7a2cbad27bd1cd418bed36078860fd7f1399b477991fe3c71c0d7a8c
    • dcbfc3cecf75ec77de3ac314ca911af1d778e5c432df4cda146c02aa9ae84c47
    • fc4b29f54e0b3ed0493ba85310a2665ab47e5143f3cb3ce09686f0560dd1ed04
    • 27f8e739b62c685c4115f49ae146bb75271d0b8fad021436939735bf7492186b
    • 28b5ab14ad007650aa5e45f5090119a758eb45f893e400e53e5ea13ac2e5b38e

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Concientizar a los empleados sobre ingeniería social y phishing.

Referencias