Descripción
Un equipo de respuesta a incidentes de seguridad ha identificado un nuevo método de distribución de código malicioso, utilizando un sitio parecido a “Pastebin”, página Web donde los usuarios pueden compartir información como puede ser texto, código fuente, brechas de datos, entre otros, en donde una característica primordial es su publicación en modo Anónimo si se requiere.
El sitio Web identificado en esta campaña es “paste[.]nrecom[.]net”, el cual fue creado para compartir código o texto al público general, a la fecha el mismo se encuentra dado de baja debido a que concentraba un gran número de códigos maliciosos usados por grupos de ciberdelincuentes
La forma de distribución comienza mandando correos electrónicos phishing con archivos maliciosos adjuntos a los usuarios, los archivos adjuntos pueden ser documentos de Word con macros maliciosas, archivos comprimidos .ZIP o ejecutables .EXE, que al momento de ser iniciados ejecutan un programa para establecer conexión con el sitio Web “paste[.]nrecom[.]net” y empezar con la descarga del resto de código malicioso.
Para que estos códigos no puedan ser identificados por sistemas de seguridad, los atacantes ofuscan los archivos binarios mediante base64 antes de ser alojados como archivos de texto plano y así evitar las alertas de algunos sistemas de seguridad.
De acuerdo con las investigaciones, algunos de los programas maliciosos identificados en las campañas son: AgentTesla, LimeRAT, W3Crytolocker y REdline Stealer.
Nivel de riesgo
- [Medio]
Indicadores de compromiso (IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- SHA-256:
- 022d911560f38d5165ea4196ac74a1
41531d3e244cdc9be895e539f7143a 7bbb - 39ba64584fb99652e9d2c05b4afdf1
39317f5f2a052611b989257047cc12 db74 - 4784f1dbfcafcef10bdfd6c2021b1e
74a826917715fd84a91f610a8b6a3b dc4f - 7fe854ce78e7ab7cafcc299b4f2a4e
e82cc366d47f9a8961727365e45688 bb4c - ac97cd95119446e96dd0bc35a4b9dc
67f4ef2853e298dc145c7588807022 d808 - 0e044c8570122a280c963cac80e014
0da78ee0d378cd17cab4ea6f146ce3 5d15 - 6e960e703df3fdea6667d9c5b671e3
efc05c692eb6875edc74c5ccc8ade5 2ac7 - c8abcedb3ec20f7ab5d9b98cc32f03
b318eba61f344e0537e4d4de673422 c6b1 - b4e0b3b783072b5266988f11bd5af2
235b432619a42466fea81a35cb5edc 4eea - 23528e75315abed2f7a86fad26036e
f1626311c3838153cb8a96bd938f00 55ac - 0374033592ba3bfa76d5046af2eaf4
506166b157aae2c5a396c827b36d47 38ca - 6462c93c7a2cbad27bd1cd418bed36
078860fd7f1399b477991fe3c71c0d 7a8c - dcbfc3cecf75ec77de3ac314ca911a
f1d778e5c432df4cda146c02aa9ae8 4c47 - fc4b29f54e0b3ed0493ba85310a266
5ab47e5143f3cb3ce09686f0560dd1 ed04 - 27f8e739b62c685c4115f49ae146bb
75271d0b8fad021436939735bf7492 186b - 28b5ab14ad007650aa5e45f5090119
a758eb45f893e400e53e5ea13ac2e5 b38e
- 022d911560f38d5165ea4196ac74a1
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
- Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
- Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
- Concientizar a los empleados sobre ingeniería social y phishing.
Referencias